サイバー攻撃を受けた場合、ブランドの毀損・風評被害、顧客への賠償、管轄当局からの指導(規制産業の場合)・罰金などがあると言われるが、日本の場合、罰金が本当にあるのか疑問に思ったので調べてみた。
米国では、SECの規則などもあり、サイバー攻撃を受けた会社に対して罰金がかかることがある。一方で、日本では、個人情報保護法に基づくものしか見つからなかった。ただ、個人情報保護法に関するものといっても、従業員等が持ち出した場合については明確だが、サイバー攻撃を受けて持ち出された場合に適用されるかは不明確で、罰金を受けないかもしれない。
個人情報の取り扱いについては、個人情報保護委員会の監督下にある。
個人情報等の不適切な取扱いを行っている場合には、個人情報保護委員会は、関係者に対して報告徴収・立入検査(法第146条)、指導・助言(法第147条)、勧告・命令(法第148条)を行うことができる。
罰則に関して、法人の従業員など(法人の代表者、法人および人の代理人・使用人・従業者)が違反行為を行った場合は、両罰規定が適用され、行為者に加え、その法人にも罰金刑が科される可能性がある(法第184条)。
罰則1)国からの命令に従わない
個人情報保護委員会の命令に違反した場合には、個人情報保護委員会はその旨を公表することができる(法第148条第4項)。
加えて、当該命令に違反した者には、刑事罰(1年以下の懲役又は100万円以下の罰金)が科される可能性がある(法第178条)。法人の場合は、1億円以下の罰金刑が科される可能性がある(法第184条)。
罰則2)虚偽の報告をする
個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等には、刑事罰(50万円以下の罰金)が科される可能性がある(法第182条)。法人には50万円以下の罰金刑が科される可能性がある(法第184条)。
罰則3)個人情報データベースの不正提供・盗用
従業員や役員(であった者を含む)が、自己または第三者の不正な利益を図る目的で、個人情報データベース等(全部・一部、加工したものを含む)を提供・盗用したときは、刑事罰(1年以下の懲役又は50万円以下の罰金)が科される可能性がある(法第179条)。
法人の場合は、1億円以下の罰金刑が科される可能性がある(法第184条)。
参考
個人情報保護委員会「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」
0 件のコメント:
コメントを投稿