3年ほど前に個人情報保護法の改正をした日本では、個人情報の利用と保護のバランスを社会全体で考えていくために「第三者委員会」として個人情報保護委員会が発足、活動を活発化している。そういうこともあって、個人情報保護に大変意識の高い欧州委員会と日本政府の間で昨年交わされた「日欧EPA」の中にお互いの個人情報保護のありかたを認め、両者間でその流通が可能になった。
ただどのように企業が意識を高め、そのために従業員教育をし、サイバーセキュリティ等の投資をしても「絶対」はない。個人情報が洩れて、お客様に迷惑をかけてしまうことはあり得る。そうなった時は、お詫びをし再発防止策を公表し、最終的には迷惑をかけた方に補償をすることになる。
さて問題のひとつはその「補償」である。個人情報の漏えい事件は最近ほど件数が多くないだけで昔からあり、何らかの形での補償をしたケースは一杯ある。例えばクオカードやテレホンカードを送るとか、わび状を添えた粗品を送るとかはよくあることだった。ではいくらくらいのものを送って補償すればいいか、300~500円くらいが相場だったような気もする。法令規定ではなくあくまで気持ちなので、金額を決める根拠は何もない。それが2014年に起きたベネッセの個人情報漏えい事件では、1人あたり3,000円+弁護士費用300円の合計3,300円が保証されるべきとの判決が、昨年末に出ている。
すでに同社は500円程度のお詫びはしており、加えて3,300円+支払いのための必要経費を支出することになる(もちろん控訴は可能だ)。流出件数は3,500万件といわれるから、ざっと1,200億円以上の損害となるだろう。原告側は一人当たり5万円以上の補償を求めていたようだから、その場合は1兆円を超えてしまう。それに比べればマシではあるが。
今回の判決は、補償額を一桁押し上げた。もちろん子供たちの情報だったので老人よりは将来不安がより大きいという理屈はあるかもしれない。それにしても、今後この額は多くの裁判等の参考値になる。経営リスクとして設定している数値を、改定する企業が増えるでしょうね。
