情報漏洩による損害賠償の平均額は？

情報漏洩による損害賠償の平均額

情報漏洩が発生すると、どの程度の損害賠償が必要になるのでしょうか。詳しく見ていきましょう。

1人当たり損害賠償額の相場

判例では、「債務不履行と相当因果関係がある損害が賠償の対象になる」とされており、個人情報の漏洩に関する損害賠償には次のようなケースがあります。

このように、あくまでも実損の賠償が原則になるため、「個人情報の漏洩1人当たり●●円を支払えばよい」といった賠償額の相場はありません。

1件当たり損害賠償額の相場

NPO日本ネットワークセキュリティ協会の集計によると、2018年における個人情報漏えいインシデントの概要は次のようになっています。

出典：2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～(速報版)｜NPO日本ネットワークセキュリティ協会

1人当たりの平均損害額は3万円弱に留まりますが、不正アクセスにより大規模に個人情報が漏洩した場合には、損害額も非常に高額になります。

情報漏洩の被害額の算出シミュレーション

情報漏洩事故で特に損害額が膨大になるリスクがあるのが、「漏洩した口座情報などが悪用され、本人の知らないところで預金が引き出されてしまったことによる損害」です。

例えば、1,000件の暗証番号を含む預金口座情報が漏洩し、10万円ずつ不正に引き出しが行われた場合、それだけで損害額は1億円に上ります。

情報漏洩の罰則

情報漏洩に伴う罰則には、刑事上の責任に関するものと、民事上の責任に関するものがあります。

刑事上の責任

個人情報の漏洩に対して刑事罰が科せられるのは、故意に漏洩させた場合に限られます。

具体的には、個人情報を取り扱っている事業者の役員や従業者が、その業務に関して取り扱った個人情報を、自分や第三者の不正な利益を図る目的で提供し、又は盗用したときは、個人情報保護法第174条により、1年以下の懲役または50万円以下の罰金に処される可能性があります。

在職中に知った個人情報を退職後に漏洩する行為も、同様に罰則の対象となります。

民事上の責任

情報漏洩が発生した場合の民事上の責任は、損害賠償責任です。詳しく見ていきましょう。

損害賠償責任

情報漏洩が発生した場合、その情報漏洩に関して帰責事由（具体的には故意または過失）があるか否かが問題となります。

例えば、厳重な個人情報の管理体制を築き、かつ適正に管理がなされていたとしても、その上をゆくハッキングにより情報が漏洩した場合、どんなに手を尽くしても漏洩を防止できなかったとして責任を負わないことはあり得ます。

もっとも、通常は何らかの落ち度があって情報が漏洩することがほとんどなので、過失が認められないケースは極めて限定的でしょう。

契約書で定める損害賠償の範囲

ここでは、契約書で損害賠償の範囲を定める方法と、契約書の範囲が認められないケースを紹介します。

契約書における損害賠償の範囲の設定方法

損害は民法上、「通常損害」と「特別損害」に分類され、特別損害の方が金額が大きくなる性質があります。いわゆる営業損害なども特別損害に分類されます。

そのため、契約書中の損害賠償の条項について、「一切の損害を賠償する」という部分を「直接かつ現実に発生した通常損害に限り賠償する」として、通常損害に限定することが考えられます。

契約書の範囲が認められないケース

契約書で損害の範囲を限定しても、相手方がそのような限定的な条項に応じる保証はありません。

特に個人情報の重要性は近年ますます高まっており、応じない相手の方が多いと考えた方がよいでしょう。

また、通常損害に限定する条項で合意できた場合であっても、故意やこれに準ずる重過失により漏洩した場合には、もはやこのような限定は適用されないという多数の裁判例があります。

情報漏洩による損害賠償の平均についてまとめ

NPO日本ネットワークセキュリティ協会の集計では、2018年の個人情報漏洩インシデントに関する1人当たり平均想定損害賠償額は2万9,768円となっています。

しかし、損害賠償額は実損の賠償が原則となるため、損害額が大きくなる可能性も否めません。

日頃から情報管理の重要性を認識し、適切な管理に努めましょう。

退職後であっても、在職中に知った個人情報を漏洩する行為は罰則の対象になるため、十分に注意が必要です。