まさかの事態から企業を守る「個人情報漏洩賠償責任保険」──その実効性はいかに

賠償／補償内容と商品選定時のポイントを知る　Hot Topics［in Japan──国内ITの潮流をとらえる］

（2005年12月05日）

賠償損害に伴う費用の算出

　さて、保険の補償内容を確認したら、保険金の支払い限度額を概算しておくとよいだろう。上述したように、個人情報漏洩賠償責任保険では、リスクを賠償損害と費用損害の2種類に分けて、支払い限度額を定めていることが多い。まずは、基本の賠償損害から考えてみたい。

　賠償損害の支払い限度額を設定するにあたっては、まずは、個人情報が漏洩した場合に発生しうる賠償責任に伴う金額を計算する必要がある。以下、過去の情報漏洩事件を参考に、損害賠償金額を算出してみよう。

　損害賠償金額の相場として、1999年に宇治市が起こした個人情報漏洩事件を例にとろう。そのあらましは、同市の業務委託先で働いていたアルバイト男性が第三者へ同市市民の個人情報22万人分を売却したというものだ。その結果、同市は委託元としての責任が問われ、裁判所より、個人情報1件当たり1万5,000円の支払いが命じられた。1万5,000円の内訳は、1万円が慰謝料、5,000円が弁護士費用となっている。なお、漏洩した情報は、住民基本台帳に記載されている氏名、住所、生年月日といったデータで、だれでも閲覧できる情報だった。

　この宇治市の例から考えると、個人情報を保有する企業・組織は、1件当たり最低でも1万5,000円のリスクを抱えることになる。さらに、メール・アドレス、趣味に関する情報、ネット・ショッピングの購入履歴、クレジットカード情報、医療情報など、センシティブ情報が漏洩した場合には、1件当たり十数万円から数百万円の賠償責任が認められる可能性もある。なかでも医療情報は、会社経営や縁談など影響の範囲が広く、大きいため、数千万円規模に及ぶこともありうる。そして、事業者全体としては、個人情報1件当たりの賠償額に件数を乗じたリスクを保有していることになる。

●個人情報保有のリスク
　1件当たりの賠償想定額×件数賠償想定額×件数

　もちろん、漏洩事故が発生したとしても、当該の被害者のすべてが訴訟に参加するわけではない。したがって、損害賠償のリスクは、賠償額に件数をかけ、さらに賠償が生じる割合をかければ、より具体的に算出することが可能となるだろう。この数字は、保険における賠償金の支払いリミットを検討するうえで大切である。

●損害賠償のリスク
　1件当たりの賠償想定額×件数×訴訟になる割合

　さらに、賠償損害リスクに対する費用を算出するには、上記の金額に対して、訴訟にかかる費用なども加算する必要がある。

　なお、現在のところ、訴訟へ発展するケースはそのほとんどが1％を大きく下回っているが、事後の対処方法がまずかったり、漏洩した情報の重要度が高かったりした場合は、訴訟になる確率が高まるだろう。また、今後は集団訴訟や法科大学院制度の卒業生による弁護士人口の増加などにより、日本でも、“訴訟社会”化が進むかもしれない。

費用損害に伴う費用の算出

　上述したように、現段階においては損害賠償が請求される確率は低いものの、状況や対処の仕方によってリスクが上昇するおそれがあり、個人情報漏洩に伴う損害賠償のフィナンシャル・リスクが注目されている。だが、企業にとって、2次被害の防止や信用回復のために実施する事後の対応は必須であり、むしろ、損害賠償よりも費用損害のほうが企業にとって脅威となっている。大抵の個人情報漏洩賠償責任保険では、この事故対応におけるリスクを費用損害として補償対象としており、これが人気の一因となっている。費用損害リスクに含まれる主な費用には、次のようなものがある。

・コンサルティング費用
・謝罪広告費用
・謝罪状の送付に要した費用
・コールセンターの設置に要した費用
・原因究明に要した費用
・対処にあたった社員の手当などの人件費

前のページへ < ｜1｜2｜3｜4｜5｜ > 次のページへ