【新着】組織内での共有・無制限視聴OK!「情報セキュリティ研修」動画パッケージ販売中 >

情報漏洩のお見舞金は必要?相場・法的根拠・過去の事例を解説

インシデント・事例

「万が一、自社で個人情報の漏洩事故が起きてしまったら、顧客にお見舞金を支払う義務はあるのだろうか」

「過去の大規模な情報漏洩事件では、一人あたりいくらくらい支払われているのが一般的なのだろう」

このような疑問や不安を抱える企業の経営者、法務・総務部門、情報セキュリティ担当者の方は少なくありません。

どれほど強固なセキュリティ対策を講じていても、サイバー攻撃や従業員のヒューマンエラーによる情報漏洩リスクを完全にゼロにすることはできません。

実際にインシデント(事故)が発生した際、企業は被害者への謝罪や原因究明、再発防止策の公表といった対応に追われますが、同時に議論となるのが「被害に遭われたお客様へのお見舞金(謝罪金)の支給」です。

しかし、お見舞金の支給について「そもそも法律上の義務なのか」「いくらが妥当なのか」という判断は非常に困難です。

また、法的な「損害賠償」とお見舞金を混同してしまうと、事後対応の方向性を誤るリスクもあります。

本記事では、情報漏洩発生時にお客様へ支払うお見舞金の考え方や過去の事例、判断の拠り所となる法的根拠について分かりやすく解説します。

1. 「お見舞金」と「損害賠償」の違いと法的根拠

まず整理しておきたいのが、企業が自主的に配る「お見舞金(謝罪金)」と、法律に基づいて支払う「損害賠償金」は全くの別物であるという点です。この2つには以下のような明確な違いがあります。

区分お見舞金(謝罪金)損害賠償金
法律上の義務なし(企業が自主的に支給)あり(法的責任が認められた場合)
主な目的道義的な謝罪・企業の信頼回復被害者が被った実際の損害・精神的苦痛の補填
決定の方法企業の経営判断裁判の判決、または両者間の示談(和解)

直接的に「情報漏洩が起きたら一律でお見舞金を支払わなければならない」と定めた法律の規定はありません。

しかし、情報漏洩によって顧客に精神的苦痛や実質的な財産被害を与えた場合、民法に基づき、企業側に損害賠償責任が認められる可能性があります。

根拠として問題となる主な法律は以下の通りです。

① 民法第709条(不法行為による損害賠償)

企業が管理していた個人情報を漏洩させ、個人のプライバシー権などを侵害した場合、被害者に対して精神的苦痛(慰謝料)などの損害を賠償する責任を負う可能性があります。

② 民法第715条(使用者責任)

情報漏洩の原因が、一従業員の誤操作や内部不正による持ち出しであった場合、その従業員を雇用して事業を行っていた企業側の「使用者責任」が問題となる場合があります。

2. お見舞金の事例と損害賠償の「過去の判例」

過去に日本国内で発生した有名な情報漏洩事件の判例や、企業の自主的な対応事例から、実際の金額感を紐解きます。

① 基礎的な個人情報(氏名・住所・電話番号など)の事例

  • 自主的なお見舞金の事例:過去の大規模な通信会社や教育関連企業の情報漏洩事件では、漏洩した内容が基礎的な個人情報であった場合、企業側が道義的な謝罪として、一人あたり500円程度のクオカードや金券、ギフトカードなどを自主的に配布した事例が複数あります。
  • 裁判での判例:自治体が民間業者に委託したデータが漏洩した「宇治市住民基本台帳データ漏洩事件(最高裁)」では、氏名・住所などの漏洩に対し、プライバシー侵害の慰謝料1万円と弁護士費用5,000円の、計15,000円の損害賠償を命じる判決が出されました。

② 機微な情報(クレジットカード情報・プライバシー性の高い情報)の事例

  • 裁判での判例:クレジットカード番号やセキュリティコード、あるいは個人の容姿や悩みに関するデータ、エステの契約情報などが漏洩した場合、精神的苦痛が非常に大きいと判断されやすいです。過去の「TBCグループ事件」の裁判では、エステのアンケート情報(容姿や体型に関する悩みなど)がネット上で閲覧可能な状態にされたことに対し、一人あたり3万円前後の損害賠償を命じる判決が出ました。このように、情報のセンシティブさに比例して、法的責任が認められた場合の賠償額は高くなる傾向にあります。

3. なぜ現金ではなく「金券やギフトカード」が選ばれるのか?

多くの企業が、自主的にお見舞金を支給する際に現金振込ではなく「クオカード」「図書カード」「各種ギフトカード」などを採用するのには、実務上の理由があります。

  1. 二次被害(さらなる個人情報の収集)を防ぐため:現金を振り込むためには、被害に遭った顧客からさらに「銀行口座番号」や「口座名義」を聞き出す必要があります。情報漏洩を起こした直後に、顧客から再度重要な個人情報を預かることは、さらなる紛失や誤登録のリスクを生むため、実務上極めて危険です。
  2. 事務手続きのコストとスピード:数万人、数十万人に対して一斉に銀行振込を行うには膨大な手数料と時間がかかります。郵送やメールで一斉に送付できる金券類の方が、迅速な対応(謝罪の意思表示)が可能になります。

4. お見舞金の支給や賠償リスクに企業はどう備えるべきか

万が一の際、お見舞金を一斉に配るべきかどうかは、企業の財務状況や漏洩した情報の性質を慎重に天秤にかける必要があります。

一人あたり「500円」の自主的なお見舞金であっても、対象者が10万人であれば総額は5,000万円に達します。さらに郵送代やコールセンター設置費用などの「事故対応費用」が別途発生し、企業の経営に大きな打撃を与えます。

こうした経営リスクを防ぐためには、システムへの投資(ハード面)だけでなく、現場の従業員一人ひとりに「なぜ情報を漏洩させてはいけないのか」「トラブル時にどう初動対応すべきか」を正しく理解させる、定期的なセキュリティ教育(ソフト面)の徹底が最もコストパフォーマンスの高い予防策となります。

よくある質問(FAQ)

Q. サイバー攻撃(ランサムウェアなど)による情報漏洩でも、企業は損害賠償責任を負いますか?

A. 安全管理措置義務違反などの「過失」が認められた場合には、損害賠償責任を負う可能性があります。

「当社もハッカーによる被害者だ」という主張だけで、常に賠償責任を免れるわけではありません。

個人情報保護法で求められる「安全管理措置」を怠っていたり、既知のシステムの脆弱性を長期間放置していたりした場合は、企業の過失とみなされ、民法上の不法行為責任が問われるケースがあります。

Q. 個人情報漏洩に備えるための「保険」はありますか?

A. はい、「サイバーリスク保険」などの損害保険があります。

これらの保険に加入していれば、インシデント発生時の原因調査費用やコールセンター設置費用、法律上の損害賠償金、そして今回解説した「お見舞金(謝罪金)の支給費用」の一部がカバーされるケースが一般的です。

万が一の経営リスクを分散するために、加入を検討する企業が増えています。

まとめ

情報漏洩を起こした際にお客様へ支払う「お見舞金」の本質は、法律上の義務を果たすことではなく、傷ついた顧客との信頼関係を回復し、企業の社会的失墜を防ぐための「誠意の形(道義的な対応)」にあります。

  • お見舞金は法律上の義務ではなく、企業が信頼回復のために自主的に配るもの
  • 過去には500円程度の金券を配布した事例があるが、情報の機微さや裁判(損害賠償)によっては数万円規模に発展する可能性もある
  • 一度の事故で莫大な費用が発生するリスクがあるため、日頃の「従業員向けセキュリティ研修」による予防が最大の備えになる

万が一の事態に慌てない体制を整えつつ、そもそもインシデントを起こさない強固な組織を築くために、実務に即したセキュリティ教育と事前のリスク管理を徹底していきましょう。

情報セキュリティ研修をご検討中の方へ

当サイトでは、企業・自治体向けに以下のサービスをご提供しています。

  • 研修動画パッケージ(買い切り型)
  • 講師派遣による対面・オンライン研修
  • 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター

動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。

料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。

タイトルとURLをコピーしました