個人情報保護法に違反した場合、会社や従業員にどのような罰則になりますか？（従業員の違反や従業員の個人情報漏えい等を解説）

それは企業にとってとても大切なことですね。分かりました。

もし個人情報保護法の違反があった場合や、違反したおそれがある場合などは、まず最初のステップとして会社から個人情報保護委員会へ、報告をする必要があります。個人情報保護委員会は、国が運営する機関ですね。
報告の内容としては「どのような事態が起きたのか」をありのまま報告するかたちです。もしですが、この報告をしないでいた場合は『50万円以下の罰金』という罰則を会社が受けてしまう可能性があります。

はい。厳密に言うと、個人情報保護委員会の規則で定められているケースだったら、という感じなのですが、そのあたりは後ほどまとめて解説しましょう。

尚、報告が済んだとして、違反があったこと自体に対してなにかしらの罰則がすぐに適用されるというわけではありません。報告した内容、状況に応じて、まずは個人情報保護委員会から会社に対して、指導や勧告が行われます。例えば、違反のおそれ程度であれば『今後はこういう対策をとっておいてくださいね』という『指導』になり、法律違反レベルの状況であればより具体的に、対応やその後の報告までを求める『勧告』、というかたちになることが多いようです。そしてもし、その勧告にきちんと従わなかった場合は、該当する違反をした従業員は1年以下の懲役または100万円以下の罰金、そして会社は1億円以下の罰金など、とても重い罰則が科されてしまいます。

また、特に勧告のほうでですが、指導の場合も含めて、起きた事態がとても重大で消費者への影響が大きかったり、悪質な部分があると判断されてしまった場合には、『こういった事案が発生し、こういう指導や勧告をしました』ということを個人情報保護委員会が世間へ公表することもあります。

そうですね。何か起きてしまった場合に企業が自主的に世間へ公表する場合ももちろんありますが、まず個人情報保護委員会からの指導や勧告を受けたうえで、最終的に個人情報保護委員会の判断で公表にいたったというケースも多いように思います。

まず前提として、法人や団体は『個人』に該当しないため、例えば取引先の企業さんに関する会社情報などは、個人情報には該当しません。
個人のお客さんと取引している場合、その顧客の氏名・住所をはじめとした、取引上で得られた情報はすべて個人情報となります。これまでに購入した商品の情報、自社のどんなサービスを利用中かといった情報のほか、例えばお客さんからアンケートで答えてもらった『いま興味があること』『サービスへの要望』などなど、あらゆる『その人についての個別の情報』が個人情報になると思ってよいでしょう。

ちなみに個人情報には、例えばサポート窓口へ問い合わせした際の通話音声や自社へ訪れた際の防犯カメラの映像といった、本人を識別できる音声や画像・映像も含まれます。

個人情報にあたる情報の種類ということで話の続きなのですが、お客さんだけでなく、従業員側の情報に関しても、同じく在籍情報や勤務状況、健康状態など含めて、個人に関することすべてが個人情報となります。
例えばですが、従業員の家族と名乗る人から電話があって、『今日は出社してますか？』『朝具合が悪そうだったけど、元気にやってますか？』などと聞かれたとしても、本人の同意無しに答えてしまうことは、原則NGです。

その場合も、従業員側が違反した場合と同じく、まずは個人情報保護委員会へ、どのような事態が起きたのかを報告する必要があります。その後、委員会から指導や是正の勧告が行われ、従わなかったら1億円以下の罰金など、という流れになりますね。

よい着眼点ですね。個人情報保護法においては、会社内での個人情報のやりとりは第三者提供には該当しないため、必ずしも本人の同意は必要ないと定められています。ただし、業務上必要な範囲を超えて個人情報が利用されてしまった場合には、本人の同意が必要です。

また、個人情報保護法における違反に該当するかどうかという話とは別に、もし業務上必然性がない範囲で従業員の情報を社内へ周知してしまった場合には、企業の不法行為に該当してしまう可能性があります。具体的には民法の『不法行為責任』や刑法の『名誉毀損』を負う可能性があるでしょう。

とはいえ、社内のことであれば程度によると思いますが、例えば従業員が自分の給料について同僚に知られたくなかったのに、業務上の理由もなく明かされてしまった……ということがあれば、従業員に精神的損害をあたえたということになりますので、その従業員から訴えられてしまう可能性もあるでしょう。

仰るとおり、そのようなケースはありますね。例えば個人の名誉を棄損する書き込みであったり、犯罪予告を書き込んだ事例などですね。
個人情報保護法においては、『法令に基づき、適した相手へ情報を開示する場合』は本人の同意なしに、外部へ情報を公開してよいことになっています。
仰ったようなインターネットサービスプロバイダの対応もそれにあたりますが、それ以外の企業にとっても、人の生命や健康、財産の保護などの重大な目的がある状況なのに本人の同意を得るのは困難、という場合には、同意を得ないまま外部へ情報を開示することが認められています。例えば、従業員が大けがをして意識を失い、治療のために血液型を医師に教える必要があるが、本人に許可を得ていなかったな……というようなことがあっても、その場合は生命や健康が優先されますので、治療に必要な個人情報を開示できます。

また、国の機関や地方公共団体などが、あくまで法令で定められたまっとうな目的で会社に問い合わせしてきた場合なども、企業は従業員の個人情報を開示できます。
例えば、警察や検察などの捜査機関から『従業員〇〇さんのいついつの行動を知りたい』『顧客の〇〇さんがなにを買ったのか知りたい』といった問い合わせがきた場合、その問い合わせが刑事訴訟法に適切に基づくものであれば、その範囲に限っては、『法令に基づいている』ということになるので、開示しても問題ありません。

ただしこのあたりはあくまで一例であり、話が複雑になってきますので、もしそういった異常事態があった場合には、会社の法務担当者や弁護士と相談しながら、慎重に対応を検討してください。

仰るとおりです。企業の社会的信頼の失墜、消費者からの賠償請求など様々なリスクがありますね。また何よりも今のご時世、会社のおこないに何かしらの問題があった場合には、あっという間にその事実が日本中・世界中の人に知られることになりますし、例えば消費者の不買運動、企業への攻撃といった好ましくない事態に発展して利益へのダメージがあったり、会社の存続自体が危うくなってしまうケースも多くみられます。

そうですね、ルールや注意点を見せて終わり、というかたちではなく定期的な従業員への教育が重要となるでしょうね。
もしPマーク（プライバシーマーク）を取得している企業であれば、もともと最低でも年に1回の従業員教育が義務付けられていますが、御社はPマークを取得されていますか？

仰るとおりです。Pマークは外部に対して、『うちの会社は個人情報についてしっかりと適切な保護措置を講じていますよ』という大きなアピールになりますし、取得のために必然的に保護の体制を整備できますから、取得を検討してもよいかもしれませんね。

Pマークのことは置いておいても、個人情報保護について従業員へ徹底した教育を行うためには、少なくとも年に1回など定期的な講義やテキスト配布を行うことが理想です。一か所の研修室などに集合せずとも、従業員が個々のデスクのパソコンで勉強できるeラーニングという方法もありますので、そういった手段で、どういったことが情報保護違反にあたるのか、万が一にも違反した際にはどのような事態になってしまうのか、について深く理解してもらうことが大切です。

また、会社が個人情報保護について理解したり、正しい教育を行うためには、『個人情報保護法は数年ごとに改正される』ということも忘れてはいけない点です。法律が施行されたのは2003年とだいぶ昔になりますが、時代の変化や情報伝達手段の変化にあわせて改正が重ねられていますので、古いガイドブックをもとに教育しているという状況では大変危険です。
先ほど挙げたeラーニングであれば、改正された内容も常に反映されていると思いますので、そういった面でも面倒が少なくおすすめですよ。

会社のルールづくりや業務の仕組みづくりで未然に防止できる部分もあります。今日のご相談のきっかけは、社員さんがUSBメモリを持ち帰ったというお話でしたが、まさにUSBメモリやパソコン、業務用スマートフォン、そのほかeメールやSNSなどでも、情報を取り扱う手段や媒体について運用のルールをしっかり決めたうえで、全従業員が徹底するということが大切です。

また、万が一情報保護法の違反のおそれが出た場合に、その事実自体を早急に察知し、適した対応をしっかりととるための管理チームを社内で整備しておくことも有効です。

今日ご紹介したように、会社や従業員が個人情報保護法に違反するおこないをしてしまった場合には、委員会から指導や勧告が入るほか、事態の規模によっては罰金罰則や世間への公表、会社の信頼の失墜などで会社が深刻なダメージを受けてしまう可能性があります。

はい。そもそも委員会へ報告すべき状況なのかどうか、この情報は開示したらいけないのではないか？ など、少しでも迷われることがあったら、いつでも相談してください。