最後の落とし穴、人材採用という名のセキュリティホール民事上の損害賠償リスク――1件140万円の高額賠償の可能性(1/5 ページ)

2005年4月からの個人情報保護法完全施行に向けて、意外な盲点といえるのが、企業が求人を行うにあたって収集する応募者の個人情報だ。いわゆる履歴書の形で収集される個人情報だが、これを人事担当者はどう扱っているだろうか。

» 2005年01月20日 00時00分 公開
[ITmedia]

個人情報の集大成ともいえる"履歴書"

 いうまでもなく履歴書には、性別、年齢、住所、電話番号はもちろん、顔写真が添付され、本籍、学歴、職歴、家族構成や年収まで記載されている。これは個人情報の集大成といってよい。しかし、果たしてどれだけの企業が、応募者の情報を"個人情報"と意識しているだろうか?

 入社後の人事情報に関しては十分なセキュリティ対策を施している企業であっても、入社以前の応募者の情報に関して、セキュリティ上のリスクを認識していることは少ないのが実情だ。

 ここに大きなセキュリティホールがある。

人材採用時の応募者データの流れ

1件でも漏れたら民事訴訟の可能性がある

 この4月から完全施行される個人情報保護法は、一定以上の個人情報を扱う企業や団体に対して、情報の利用目的を明確化し、目的内の利用を告知するとともに、それ以外の利用を禁止するというものだ。これに違反した企業や団体に対しては是正勧告を出し、従わない場合は罰金を含めた行政処分を科す。

 しかし、企業はもっと深刻なリスクにさらされている。民事上の損害賠償リスクである。個人情報保護法施行により、個人情報に対する個人の権利意識が高まることが予想される。すなわち、情報漏えいの際の民事訴訟・損賠賠償請求の可能性も必然的に高まるということだ。

 個人情報保護法に詳しい牧野総合法律事務所では「履歴書情報を含め、採用のために収集した個人情報を保持すること自体はなんら問題はない」という。ただし「1件でも漏れた場合は問題」であり、「個人情報保護法の適用企業以外でも、民事訴訟の危険性がある」と説明する。

 また、問題が漏えいまで及ばなかったとしても、個人情報保護法では個人情報は個人の意思によってその使用が制限され、企業はその返却や削除の要求に応えなければならない、と定められている。企業は収集した個人情報をきちんと管理し、いつでも個人からの開示請求に応じられるようにしておく必要があるのだ。

賠償請求額は1件当たり最高で140万円!?

 問題となるのは、万一流出した場合、1件当たりの賠償額はどれくらいになるかという点だ。

 あるセキュリティ関連団体がこれまでの裁判の判例などを基に算出した賠償額のモデルによると、メールアドレスのみの流出の場合は1人当たりの賠償額は最高4000円、氏名、住所や本籍までも含まれた場合には30万円以上になるとしている。一方、セキュリティ関連企業が個人に対してアンケートを行った結果によると、顔写真が流出した場合に賠償請求したい金額の平均は140万円であった。

 履歴書などの個人情報はまさに、この高額賠償対象に該当するのである。

賠償請求額のグラフ  出典:NRIセキュアテクノロジーズ/個人情報保護に関する消費者意識調査2004

 実際の裁判にあたっては、漏えいした情報の内容や事後対応の善しあしによって賠償金額は大きく左右されるものの、最終的には1人当たり1000円〜140万円にまで拡大する可能性がある。現在のところ、求人のために収集した個人情報が流出したケースは知られていないが、万一流出した場合、賠償請求のみならず、企業イメージの失墜という大きなダメージを被ることは避けられないだろう。

 貴社は大丈夫だろうか?

 次ページの診断テストで貴社のセキュリティホールを確認してほしい。

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ