プライバシーの侵害とは?定義や種類と企業が直面するリスクまで解説

セキュリティニュース

投稿日時: 更新日時:

プライバシーの侵害とは?定義や種類と企業が直面するリスクまで解説

「個人情報は漏洩していないから、プライバシー侵害にはあたらない」—もし社内でこのような認識がある場合、企業として大きなリスクを抱えているかもしれません。 本記事では、企業の法務・セキュリティ担当者に向けて、実務で押さえておくべき「プライバシー侵害」の基礎知識から実践的な対策までを網羅的に解説します。

【この記事でわかること】

  • プライバシーと個人情報の明確な違い

  • 企業が注意すべき「5つのプライバシー侵害」の種類

  • 行政指導やレピュテーション低下などの企業リスク

  • LINEヤフーなど、他社の最新事例から学ぶ教訓

  • 明日から実践できる5つの侵害対策

プライバシーとは何か

「プライバシー」という言葉は、実は日本の法令上、明確な定義がありません。一般には「プライバシー権」として、「自分に関する情報を、自分でコントロールできる権利」という意味で使われることが多いです。

かつてのプライバシーは「私生活を覗かれない権利」という意味合いが強いものでした。しかし現代では、本人が知らないうちに情報が収集・分析・流通されること自体がプライバシーの問題として捉えられています。

つまり、「秘密を暴かれる」だけでなく、「知らないところで自分の情報が使われている」こともプライバシー侵害になり得るということです。

プライバシーの侵害とは?

プライバシーの侵害とは、本人の意思に反して、個人の情報が収集・利用・公開される状態を指します。

プライバシーの侵害とは?

法的に不法行為として認められるには(民法709条)、一般的に以下の3つの要件が必要とされています。

  • その情報がプライバシーに属するものであること
  • 一般人の感覚で「公開されたくない」と感じられる性質であること
  • 公開や利用が正当な目的・手段の範囲を超えていること

ここで重要なのは、「漏洩したかどうか」ではなく「本人の意思に反しているかどうか」が判断軸になる点です。

たとえば、外部に流出していなくても、社内で本来の目的を超えた利用があれば侵害になります。逆に、本人が公開している情報であっても、それを集めて新たなプロファイルを作ることは侵害になり得ます。

漏洩と不適切なアクセス管理の違い

侵害の種類

プライバシー侵害にはいくつかのパターンがあります。ここでは企業が実務で遭遇しやすい5つの種類を見ていきます。

個人情報の漏洩・不正流通

サイバー攻撃、誤送信、内部不正などによって、個人情報が外部に流出するケースです。もっともイメージしやすい侵害の形といえます。個人情報保護法の違反と重なることが多く、漏洩した情報の量や性質によって責任の重さが変わります。

目的外利用・過剰な収集

個人情報を、取得時に伝えた目的以外で使用するケースです。「とりあえず持っておく」「別の施策にも使えるかも」という運用は、外部への流出がなくても侵害に該当し得ます。採用応募者の情報を選考終了後も保持し続ける、購買履歴を本人が想定しない形で分析に使う、といった例が挙げられます。

監視・追跡行為

正当な目的なく、個人の行動を追跡・監視することも侵害になります。企業では従業員のモニタリングが典型的な論点です。業務効率化やセキュリティ目的であっても、勤怠管理の範囲を超えた位置情報の常時取得や、プライベートな通信への介入は問題になります。

要配慮個人情報の不適切な取り扱い

病歴、犯罪歴、信条など、個人情報保護法で「要配慮個人情報」に指定されている情報は、取り扱いに特別な配慮が必要です。これらは本人の同意なく取得すること自体が原則禁止されており、漏洩した場合の社会的影響も大きくなります。医療機関だけでなく、従業員の健康診断結果や採用面接での質問など、一般企業でも扱う場面は多いです。

AIを用いた侵害

近年増えているのが、AIによるプライバシー侵害です。複数の情報を組み合わせて本人が開示していない属性を推測する「プロファイリング」、本人の同意なく顔や声を使った偽コンテンツを生成する「ディープフェイク」、学習データへの個人情報の不適切な含有などが該当します。

侵害が及ぼす影響

プライバシー侵害が発生した場合、企業はさまざまな観点で影響を受けます。

行政処分

個人情報保護法違反に対しては、個人情報保護委員会が「勧告」や「命令」を行う権限を持っています。電気通信事業者であれば、総務省から「通信の秘密」の漏洩に関する行政指導を受けることもあります。2024年にはLINEヤフーが総務省から2度の行政指導を受け、個人情報保護委員会からも勧告を受けました。

罰則・制裁金

個人情報保護法では、不正提供・盗用に対して1年以下の懲役または50万円以下の罰金(法人は1億円以下)が規定されています。GDPRの適用を受ける場合は、全世界年間売上高の4%または2,000万ユーロのいずれか高い方という巨額の制裁金リスクがあります。

レピュテーションダメージ

行政処分や罰則以上に深刻なのが、信頼の失墜です。特に漏洩した情報が要配慮個人情報である場合や、対応が後手に回った場合は、報道やSNSでの批判が長期化する傾向にあります。「この会社に個人情報を預けて大丈夫か」という疑念は、顧客離れや採用への影響にもつながります。

訴訟リスク

被害者から損害賠償請求を受けるケースもあります。過去の判例では1件あたりの慰謝料は数千円〜数万円程度とされることが多いですが、対象者が多ければ総額は膨らみます。集団訴訟に発展した場合、訴訟対応のコストと時間も無視できません。

プライバシーの侵害に該当する行為と企業事例(具体例)

ここでは、インパクトの大きい事例と、判断を誤りやすい事例をピックアップして紹介します。

LINEヤフー:委託先経由の漏洩で2度の行政指導

2023年9月〜10月、LINEヤフーは委託先である韓国NAVER Cloudの従業者端末がマルウェアに感染したことを契機に不正アクセスを受け、最大約52万件の個人データが漏洩しました。LINEユーザーの通信情報も含まれていたため、総務省は「通信の秘密」の漏洩と判断。20243月と4月に2度の行政指導を行いました。

注目すべきは、総務省の指導文書に「前回の行政指導後の教訓を踏まえれば、今回の事案は防げた」と明記されている点です。委託先管理の不備が繰り返されたことへの厳しい姿勢が示されました。委託先経由の漏洩であっても、責任を問われるのは委託元です。

岡山県精神科医療センター:「人災」と断じられたランサムウェア被害

2024年5月、岡山県精神科医療センターがランサムウェア攻撃を受け、最大約4万人分の患者情報(氏名・住所・生年月日・病名等)が流出した可能性が判明しました。氏名と紐づいた病名は要配慮個人情報に該当するため、漏洩による影響は深刻です。

2025年2月の調査報告書では、保守用VPN装置のパスワードが「P@ssw0rd」という推測容易なものだったこと、脆弱性が2018年の設置以降放置されていたことなどが指摘されています。報告書は「厚労省ガイドラインを遵守していれば防げた」「人災」と断じており、基本的なセキュリティ対策の欠如が招いた事例として注目されています。

doda:「漏洩」ではないが問題になったケース

2024年9月、パーソルキャリアが運営する転職サービス「doda」で、採用担当者約55万人分の個人情報が、販売代理店から閲覧可能な状態だったことが判明しました。対象期間は20185月から20248月までの6年以上に及びます。

この事例のポイントは、「漏洩」ではなく「不適切なアクセス管理」である点です。外部に流出したわけではありませんが、本来アクセスすべきでない第三者が閲覧できる状態だったことが問題視されました。システム開発時のプライバシー観点からの検証不足が原因とされています。

公開情報のスクレイピング:見落としやすい侵害リスク

SNSで本人が公開しているのだから、収集しても問題ないのでは?」という誤解は根強くあります。しかし、公開情報であっても、それを無断で大量に収集し、ビジネス目的に利用することはプライバシー侵害になり得ます。

個人が自分の意思で公開したとしても、その情報がどう使われるかまでコントロールを放棄したわけではありません。特にスクレイピングによる大量収集や、複数の情報源を組み合わせたプロファイリングは、本人の想定を超えた利用として問題になりやすいケースです。

プライバシー侵害への対策

では、企業として何をすべきでしょうか。

利用目的の明確化と遵守

個人情報を取得する際に、利用目的を具体的に特定し、その範囲内で使用することが基本です。これは顧客情報だけでなく、従業員の情報も同様です。第三者への提供や目的外利用には本人同意が必要であり、「なんとなく持っておく」「あとで使えるかも」という運用は見直す必要があります。

委託先管理の徹底

LINEヤフーの事例が示すように、委託先経由の漏洩でも委託元の責任が問われます。委託先のセキュリティ体制を契約前に確認し、定期的に監査することが求められます。

アクセス権限の最小化と棚卸し

必要な人に、必要な範囲だけアクセス権限を付与する「最小権限の原則」を徹底します。退職者のアカウント削除、定期的な権限棚卸しも欠かせません。ある企業では、退職後もアカウントが有効だったことが不正アクセスにつながったという事例もあります。

システム開発時のプライバシーレビュー

dodaの事例のように、システム設計段階でのプライバシー観点の検証不足が問題を引き起こすことがあります。新規システムや機能追加の際に、「誰が」「どの情報に」「どこまで」アクセスできるかを事前にレビューする仕組みが必要です。

インシデント対応体制の整備

漏洩が発生した場合の報告フロー、本人への通知方法、個人情報保護委員会や業種によっては監督官庁への届出手順などを事前に整備しておくことで、初動の遅れを防げます。岡山県精神科医療センターの報告書では、発覚後の対応は比較的迅速だったと評価されており、事前の備えが重要であることがわかります。

まとめ

プライバシーの侵害は「情報が外部に漏れること」だけではありません。本人の意思に反した収集・利用・公開すべてが侵害になり得ます。

個人情報を管理する上では「漏れていないから大丈夫」ではなく、「本人が納得できる形で扱えているか」という姿勢で扱う必要があることに注意しましょう。