個人情報漏洩の損害賠償額はいくら？中小企業の実態

個人情報が漏洩した場合、中小企業やEC事業者が負う損害賠償額は漏洩した情報の種類や被害の程度によって大きく異なります。お詫び費用だけでも1人500円が相場で、漏洩件数が増えるほど負担は膨らみます。

お詫び費用は1人500円が相場

個人情報漏洩が発生した場合、まず企業が支払うことになるのがお詫び費用です。これは損害賠償とは別のもので、被害者への謝罪として支払う見舞金やクオカードなどを指します。

お詫び費用の相場は1人あたり500円です。大手企業の漏洩事故で500円のクオカードを被害者全員に配った事例は有名で、これがひとつの基準になっています。

漏洩件数ごとのお詫び費用の目安は以下の通りです。

漏洩件数	お詫び費用の目安
1,000件	50万円
1万件	500万円
10万件	5,000万円

ECサイトを運営している中小企業の場合、数万件の顧客情報を扱っていることは珍しくありません。仮に3万件の情報が漏洩すれば、お詫び費用だけで1,500万円に達する計算です。こうした不安からサイバー保険の相談が増えている背景はサイバー保険の相談で個人情報漏洩が最多な理由で詳しく解説しています。

損害賠償金はケースによって大きく変動

お詫び費用はあくまで賠償請求に発展していない段階の費用です。実際に第三者に被害が生じ、訴訟や賠償請求に発展した場合、損害賠償金はさらに高額になります。

損害賠償金の金額は、漏洩した情報の種類や被害の程度によって大きく異なります。過去の裁判例では1件あたり数千円から数万円程度の判決が多いですが、漏洩した情報の機微性や二次被害の有無によってはさらに高額になる可能性もあります。

ただし、サイバー保険の専門家によると、実際にサイバー保険の賠償責任の補償が使われるケースはそれほど多くありません。中小企業で情報漏洩まで発展するケースは少なく、仮に発生してもお詫び費用で収まることが多いためです。

クレジットカード情報の漏洩は実際には少ない

個人情報漏洩と聞くと、クレジットカード情報の流出を真っ先に心配する経営者は多いですが、実際にはこのリスクはそれほど高くありません。

現在の決済システムでは、クレジットカード情報は外部の決済代行サービスに保管されるのが主流です。自社のサーバーにクレジットカード情報を保管している企業はほとんど聞かないと専門家も指摘しています。

つまり、仮に自社のシステムがハッキングされたとしても、クレジットカード情報が直接流出する可能性は低いのです。

損害賠償だけではない隠れたコスト

個人情報漏洩で企業が負担する費用は、お詫び費用や損害賠償金だけではありません。むしろ、それ以外の費用の方が大きくなるケースが多いのです。

主な費用項目は以下の通りです。

• フォレンジック調査費用（パソコン1台あたり100万円）
• 漏洩を通知するための費用（郵送費、コールセンター設置費など）
• 社内IT部門の超過人件費
• 信用回復のための費用（保険会社の承認が必要）
• 再発防止策にかかる費用
• システム停止による逸失利益

特にフォレンジック調査は最も大きな費目で、パソコン1台の調査に100万円かかります。従業員30人の会社で複数台を調査すれば、調査費用だけで数百万円になります。

サイバー保険がカバーする調査・復旧費用では、これらの費用をサイバー保険でどこまでカバーできるかを詳しく解説しています。

サイバー保険で賠償リスクに備える

情報漏洩による損害賠償金やお詫び費用は、サイバー保険で対応できます。保険の専門家によると、情報漏洩によって第三者に被害が生じた場合の賠償額とお詫び費用は保険でカバーされます。

サイバー保険の補償内容は主に3つの柱で構成されています。

• 損害賠償責任の補償（賠償金、お詫び費用）
• 事故対応費用の補償（フォレンジック調査、通知費用など）
• 利益損害の補償（営業損失、復旧費用）

保険金額は最低でも1億円はつけておくことが推奨されています。数千万円規模の費用が発生する可能性があるため、逸失利益も含めて十分な補償額を設定することが重要です。

実際の事故事例に学ぶ被害額の内訳

サイバー保険の専門家が対応した実際の事故事例を見ると、被害額の内訳がより具体的にイメージできます。

売上50億円、従業員30人から50人規模の中小企業がランサムウェアに感染したケースでは、保険金として約1,200万円が支払われました。

この事例では情報漏洩は発生しませんでしたが、システムの復旧と調査だけでこれだけの費用がかかっています。もし情報漏洩まで発展していれば、お詫び費用や損害賠償金が上乗せされ、さらに高額になっていた可能性があります。ランサムウェア被害で見落としがちな費用項目についてはランサムウェアの隠れたコストとは？でも取り上げています。

保険金額は最低1億円が目安

サイバー保険に加入する際の保険金額は、最低でも1億円を設定しておくべきとされています。事故対応費用だけで数千万円規模になる可能性があり、そこに逸失利益や損害賠償金が加わると、数千万円では足りなくなるケースがあるためです。

保険金額の設定にあたっては、以下のポイントを考慮する必要があります。

• フォレンジック調査費用（パソコン台数に応じて変動）
• 漏洩件数に応じたお詫び費用
• システム停止による逸失利益
• 再発防止策にかかる費用

保険の専門家と相談しながら、自社の事業規模やリスクに合った保険金額を設定することが重要です。万が一の事故発生時にサイバー保険の付帯サービスがどう役立つかはサイバー保険のインシデント対応サービスを徹底解説をご覧ください。

まずはセキュリティ対策から

損害賠償のリスクを軽減するためには、保険に加入するだけでなく、そもそも漏洩を防ぐためのセキュリティ対策が最も重要です。

特に個人情報を扱う企業が取り組むべき対策は以下の通りです。

• 個人情報管理ルールの社内整備
• 従業員教育の徹底（特にメール経由の攻撃への対策）
• 2段階認証やVPNの導入
• データベースのアクセス権限管理
• 漏洩発生時の対応体制の構築

サイバー攻撃の入口として最も多いのはメール経由の攻撃です。不審なメールのリンクを開かないよう、従業員への定期的な教育が重要です。限られた予算の中で何から手を付けるべきかは限られた予算で優先すべきセキュリティ対策4選が参考になります。

個人情報漏洩のリスクは、技術的な対策だけでなく、人的な対策も含めて多層的に備えることが重要です。セキュリティ対策をしっかり行っていた企業でもサイバー攻撃の被害に遭った事例があるため、対策と保険の両面から備えることが必要です。

個人情報保護法の改正で報告義務が強化されたことも、セキュリティ体制の見直しを促す要因になっています。個人情報保護法改正とサイバー保険の関係も合わせてご確認ください。

顧客データを扱う企業の最低限の備えでは、個人情報を扱う中小企業が最低限やっておくべき対策をまとめています。