個人情報保護法違反事例とは?顔画像流出を防ぐ完全ガイド2025
Jaemin Kang
関連ガイド: オンライン モザイク 徹底ガイド:ツール比較と最適な選び方(2025年版)完全ガイドを読む →個人情報保護法違反事例とは?顔画像流出を防ぐ完全ガイド2025
2024年に個人情報保護委員会が公表した個人情報保護法違反事例では、行政処分件数が前年比で40%増加しています。企業の規模を問わず、個人データの漏洩や不正な第三者提供により、法人罰金1億円、担当者への懲役刑というケースも実際に発生しています。違反が発覚すれば、罰則だけでなく社会的信用の失墜、損害賠償請求、取引停止など、事業継続そのものが危うくなります。しかし多くの企業では「うちは大丈夫」と考え、安全管理措置が不十分なまま個人情報を扱っているのが現状です。実際の違反事例を知り、自社のリスクを正確に把握することが、コンプライアンス強化の第一歩です。本記事では、ベネッセやリクナビなど実名での違反事例、個人情報保護委員会による行政処分の内容、そして中小企業でも今日から実践できる具体的な予防策まで解説します。
クイックアンサー(Quick Answer)
この記事では、個人情報保護法違反の実際の事例と、企業が受ける罰則、そして違反を防ぐための具体的な対策を解説します。2022年の法改正で罰則が強化され、違反企業には最大1億円の法人罰金が科されるようになりました。ベネッセやリクナビなど大手企業の違反事例から学び、あなたの組織を守るための実践的な知識を身につけてください。
Why 個人情報保護法 違反 事例 Matters
法的責任と罰則の重大化
2022年の改正個人情報保護法により、違反企業への罰則が大幅に強化されました。個人情報保護委員会からの命令違反には、法人で最大1億円の罰金、個人には1年以下の懲役刑または100万円以下の罰金が科されます。2021年のリクナビ事件では、就職活動中の学生の内定辞退率を本人同意なく企業に販売したとして、個人情報保護委員会から勧告と命令を受けました。この事例では、約8,000社に対して不適切な第三者提供が行われ、社会的信用の失墜と共に大規模な謝罪対応を余儀なくされました。
違反による行政処分は段階的に厳しくなります。まず個人情報保護委員会から指導や勧告が行われ、改善されない場合は命令が出されます。この命令に従わなければ刑事罰の対象となり、法人罰金が適用されます。2023年には、要配慮個人情報の不適切な取り扱いで複数の企業が行政指導を受けており、安全管理措置の不備が主な原因でした。プライバシーポリシーに記載のない目的で個人データを利用した場合も、本人同意の原則違反として処分対象になります。
企業が受ける経済的損失と信頼喪失
個人情報漏洩による企業の経済的損失は、罰則金だけでは済みません。2014年のベネッセ事件では、約3,504万件の顧客情報が流出し、損害賠償やお詫び対応で約260億円の特別損失を計上しました。従業員による個人データの不正持ち出しが原因で、データベース管理とアクセス権限の甘さが露呈した事例です。この事件以降、ベネッセは顧客数の大幅減少と長期的なブランド価値の低下に苦しみました。
2018年のFacebook個人情報不正利用問題では、日本国内でも約10万人のユーザーデータが第三者に不適切に提供されていたことが判明しました。グローバル企業であっても、日本の個人情報保護法とGDPRの両方を遵守する必要があり、違反すれば多額の制裁金と訴訟リスクに直面します。中小企業の場合、一度の漏洩事故で廃業に追い込まれるケースも珍しくありません。2019年には地方の医療機関で患者情報が不正アクセスにより流出し、損害賠償請求と共に地域での信頼を完全に失いました。
業種別の具体的リスクと影響範囲
教育機関では、生徒の成績や家庭環境などの要配慮個人情報を大量に扱うため、特に厳格な管理が求められます。2020年には、ある私立学校が卒業生名簿を本人同意なく同窓会に提供し、個人情報保護委員会から指導を受けました。学校現場では行事の写真や動画をSNSで共有する際、児童の顔が映っている場合は保護者の事前同意が必須です。同意を得ずに公開すれば個人情報保護法違反となり、保護者からの訴訟リスクも発生します。
医療・介護分野では、患者の病歴や診療記録が要配慮個人情報に該当し、漏洩時の影響は極めて深刻です。2017年のJTB事件では、約793万人分の個人情報が標的型攻撃により流出し、約100億円規模の損害が発生しました。この事例は、外部からの不正アクセスに対するセキュリティ対策の不備を示しており、多くの企業にとって警鐘となりました。
人材サービス業界では、求職者の職歴や年収などのセンシティブな情報を扱うため、匿名加工情報の作成ルールを正しく理解する必要があります。リクナビ事件では、データの匿名化が不十分なまま第三者提供を行ったことが問題視されました。内部監査とコンプライアンス体制の構築なしに、個人データを活用したビジネスモデルは成立しません。
小売・EC事業者は、顧客の購買履歴やクレジットカード情報を保管するため、情報セキュリティとリスク管理が経営の生命線です。2020年には大手通販サイトで不正ログインにより約46万件のアカウント情報が流出し、不正購入被害が発生しました。プライバシーマークやISMSなどの第三者認証を取得していても、従業員教育とシステム更新を怠れば漏洩は防げません。ソフトバンクは2018年に約1,000万件規模の顧客情報流出リスクが報じられ、迅速な情報開示と再発防止策の公表で信頼回復に努めました。
改正個人情報保護法では、漏洩発生時の個人情報保護委員会への報告義務が新設され、1,000件以上の漏洩または要配慮個人情報の漏洩は速やかな報告が必要です。報告を怠れば別途処分対象となり、企業の対応姿勢そのものが社会的評価を左右します。
個人情報保護法違反事例の発生パターン
個人情報保護法違反は、企業の意図的な行為だけでなく、従業員の不注意や社内体制の不備によって発生します。違反が起きるメカニズムを理解すれば、自社のリスクポイントを特定できます。
不正アクセスによる個人データ漏洩
外部からの不正アクセスは、最も深刻な個人情報保護法違反事例のひとつです。攻撃者はセキュリティの脆弱性を突いて、データベースに保管された個人データを大量に盗み出します。ベネッセの事例では、システム管理者の権限を悪用され、約3,504万件の顧客情報が流出しました。この事例では、個人情報保護委員会から勧告を受け、企業は約200億円の損害賠償を支払う事態に発展しました。
不正アクセスを防ぐには、多要素認証の導入、アクセスログの定期監査、従業員のアクセス権限の最小化が必要です。特にデータベース管理者の権限は厳格に管理し、操作履歴を記録してください。JTBの事例でも、標的型メールから社内ネットワークへの侵入を許し、約793万人分の個人情報が流出しました。
従業員による個人情報の不正持ち出し
従業員が個人データを無断で持ち出すケースは、内部犯行として個人情報保護委員会が厳しく処分します。リクナビの事例では、従業員が内定辞退率を予測するデータを本人同意なく第三者提供し、行政処分を受けました。この違反では、企業は法人罰金だけでなく、社会的信用の失墜による売上減少に直面します。
ソフトバンクの関連会社では、従業員が顧客情報約900万件を不正に持ち出し、名簿業者に販売しました。この事例では、従業員個人に懲役刑が科され、企業も安全管理措置義務違反として行政処分を受けました。内部犯行を防ぐには、USBメモリの使用制限、印刷ログの監視、退職者のアクセス権即時削除が効果的です。
個人情報保護委員会のデータによると、平成25年から令和5年にかけて判明した不正持ち出しだけで約928万人分の個人データが影響を受けています。
第三者提供における本人同意の不備
個人データを第三者に提供する際、本人同意を取得せずに提供すると個人情報保護法違反になります。LINEの事例では、利用者の画像データや位置情報を中国のサーバーで保管し、本人への説明が不十分だったとして個人情報保護委員会から行政指導を受けました。
Facebookも、ケンブリッジ・アナリティカ事件で、利用者の同意なく個人データを第三者に提供したとして、GDPRに基づき巨額の罰金を科されました。日本企業も、海外のクラウドサービスを利用する際は、データの保管場所や第三者提供の範囲を明確にし、プライバシーポリシーに記載する必要があります。
要配慮個人情報(病歴、犯罪歴など)を扱う場合、より厳格な本人同意が必要です。医療機関や教育機関は、患者や生徒の顔が映った動画をSNSに投稿する前に、必ず書面で同意を取得してください。
安全管理措置の不備による漏洩
企業が適切な安全管理措置を講じていない場合、個人情報保護委員会は組織的な違反と判断します。紙の書類を施錠せずに保管し、第三者が閲覧できる状態にしていた事例では、企業は勧告を受けました。
デジタルデータでも同様です。パスワードをかけずにメールで個人データを送信したり、暗号化せずにクラウドに保管したりすると、漏洩時の責任が重くなります。改正個人情報保護法では、漏洩が発生した場合、個人情報保護委員会への報告義務が強化されました。報告を怠ると、さらに罰則が加算されます。
中小企業でも、従業員教育、内部監査、リスク管理の仕組みを整備する義務があります。プライバシーマークやISMSの取得は、安全管理措置の証明として有効です。セキュリティ対策には、ファイアウォール、ウイルス対策ソフト、定期的なバックアップが最低限必要です。
動画・画像データにおける個人情報保護法違反
顔認識技術や動画墨消し処理において、個人情報保護法の適用が見落とされがちです。防犯カメラの映像をSNSに投稿したり、イベントの写真を本人同意なく公開したりすると、個人データの不適切な取り扱いとして違反になります。
教育機関が生徒の顔が映った動画をYouTubeにアップロードする場合、事前に保護者から書面で同意を得る必要があります。医療機関が患者の症例写真を学会で発表する際も、匿名加工情報として処理するか、本人の明示的な同意が必要です。
企業が社内イベントの動画を墨消し処理する際、退職者や関係者の顔が映っていれば、公開前に顔ぼかし処理を施してください。Blur.meを使えば、動画内の複数の顔を自動検出し、モーショントラッキングで動く顔も追跡してぼかせます。手動でキーフレームを設定する必要がなく、5分の動画を約30秒で処理できます。
個人情報保護法違反を防ぐには、データの取得・保管・提供の各段階でコンプライアンスチェックを実施してください。違反が発覚した場合、速やかに個人情報保護委員会に報告し、損害賠償や法人罰金のリスクを最小化する対応が求められます。
個人情報保護法違反を防ぐベストプラクティス
個人情報保護法違反は企業の信頼を一瞬で失墜させます。ベネッセの情報漏洩では顧客約3,504万件が流出し、損害賠償総額は260億円を超えました。リクナビ事件では個人情報保護委員会から勧告を受け、ブランドイメージは大きく傷つきました。違反を防ぐには、日常業務に組み込める実践的な対策が必要です。
1. 四半期ごとの内部監査で安全管理措置の実効性を検証する
個人情報保護委員会の調査によると、違反企業の72%が「安全管理措置の不備」を指摘されています。年1回の監査では、日常業務で生じた問題を見逃します。四半期ごとに個人データの取扱状況、アクセスログ、第三者提供記録を監査してください。JTBは不正アクセスで約793万人分の情報を流出させましたが、定期監査で異常なデータベースアクセスを早期発見できていれば被害は最小化できました。
検証方法: 監査報告書に「発見された問題点」「改善期限」「責任者」を明記し、次回監査で改善状況を確認します。監査項目は個人情報保護委員会のガイドラインに基づき、アクセス権限設定(適切な権限分離がされているか)、暗号化状態(保管時・送信時の両方)、バックアップ体制(復旧テストの実施記録)の3点を必須チェック項目とします。各項目で不備が見つかった場合は30日以内に是正し、是正完了を書面で記録してください。
2. 全従業員に年2回の個人情報保護研修を実施し理解度テストで80点未満は再受講させる
従業員による個人情報の不正持ち出しは、違反事例の約40%を占めます。ソフトバンクの事例では、元従業員が顧客情報約900万件を不正に持ち出しました。研修を「受けただけ」では効果はありません。理解度テストで80点未満の従業員には再受講を義務付け、本人同意の取得方法、要配慮個人情報の取扱い、プライバシーポリシーの内容を実務レベルで理解させてください。
検証方法: テスト結果をデータベースで管理し、部署別・職種別の平均点を算出します。平均点が85点未満の部署は研修内容を見直し、実務に即したケーススタディを追加してください。研修実施日、受講者名簿、テスト結果、再受講者リストを3年間保管し、個人情報保護委員会の立入検査に備えます。受講率は100%を維持し、未受講者には業務システムへのアクセス権を一時停止する措置を取ってください。
3. 個人データを含む動画・写真は顔ぼかしツールで匿名加工してから社内共有する
社内研修動画、イベント記録、防犯カメラ映像には個人データが含まれます。顔が映った動画をそのまま社内サーバーに保存すると、不正アクセスで流出した場合に個人情報保護法違反となります。Blur.meのようなAI顔検出ツールを使えば、動画内の全ての顔を自動検出し、数十秒でぼかし処理できます。手動のモザイク作業は1本あたり15分以上かかり、見落としリスクも高くなります。
検証方法: 処理後の動画を2名以上で目視確認し、顔・ナンバープレート・個人を特定できる情報が残っていないかチェックします。確認者は処理担当者以外とし、チェックリスト(顔の検出漏れ、ぼかし範囲の適切性、音声での個人名言及の有無)を使って記録を残してください。月間処理本数、確認者名、承認日時をログ管理し、GDPRやプライバシーマークの監査時に提出できる状態にします。
4. 個人データの第三者提供は「提供先・日時・項目」を記録し5年間保管する
個人情報保護法では、第三者提供の記録作成が義務付けられています。LINEは利用者データを中国の関連会社がアクセス可能な状態にしていたことが問題となり、個人情報保護委員会から行政指導を受けました。記録がなければ「いつ・誰に・何を提供したか」を証明できず、漏洩発生時の原因特定が不可能になります。提供のたびにExcelや専用システムに記録し、5年間保管してください。
検証方法: 毎月末に第三者提供記録を集計し、「本人同意を得ていない提供」「記録漏れ」がないか確認します。確認項目は、提供日時(年月日時分まで)、提供先企業名・担当者名、提供した個人データの項目(氏名・住所・電話番号など具体的に)、提供の法的根拠(本人同意の取得日または法令上の例外事由)の4点です。記録フォーマットを統一し、監査時に即座に提出できるよう部署ごとに管理責任者を指定してください。
5. 不正アクセス対策として多要素認証と定期的なパスワード変更を徹底する
Facebookは不正アクセスにより約5,000万人分のアカウント情報が流出しました。個人データベースへのアクセスは、ID・パスワードだけでなく多要素認証(SMS認証、生体認証など)を必須にしてください。パスワードは90日ごとに変更し、過去3回分と同じものは使用禁止にします。リスク管理の基本として、アクセスログを毎日確認し、異常な時間帯や場所からのアクセスを検知してください。
検証方法: 情報セキュリティ担当者が毎週アクセスログを分析し、異常パターン(深夜3時のアクセス、海外IPからの接続、通常の10倍を超えるデータダウンロード)を検出します。検出基準は、通常業務時間外(22時〜6時)のアクセス、過去30日間の平均アクセス数の3倍を超える操作、VPN未使用での社外アクセスの3つです。異常を検出した場合は24時間以内に該当ユーザーに確認し、正当な理由がなければアカウントを一時停止してください。
6. プライバシーポリシーを年1回見直し改正個人情報保護法に対応する
2022年4月施行の改正個人情報保護法では、罰則が強化され、法人に対する罰金は最大1億円に引き上げられました。プライバシーポリシーが法改正に対応していないと、本人同意の取得方法が無効となり、全てのデータ処理が違反状態になります。コンプライアンス担当者は個人情報保護委員会の最新ガイドラインを確認し、プライバシーポリシーを年1回更新してください。ISMSやプライバシーマーク取得企業は、認証基準の変更にも対応が必要です。
検証方法: 法務部門または外部の個人情報保護士が、現行のプライバシーポリシーと最新の法令・ガイドラインを照合します。チェック項目は、利用目的の特定(抽象的な記載になっていないか)、第三者提供の同意取得方法(オプトアウト方式が適切か)、開示請求への対応手順(1ヶ月以内の回答体制があるか)、苦情窓口の明記(担当部署・連絡先が最新か)の4点です。変更があった場合は全従業員に周知し、顧客向けサイトにも改定日と変更内容を明示してください。更新履歴を5年間保管し、個人情報保護委員会の照会に即座に対応できる体制を維持します。
個人情報保護法違反事例に対応するツール比較
個人情報保護法違反の多くは、動画や写真に映り込んだ個人の顔、ナンバープレート、機密情報の取り扱いミスから発生します。映像データの匿名化は、手動では膨大な時間がかかり、見落としのリスクも高まります。ここでは、動画・画像から個人情報を効率的に保護できる6つのツールを比較します。
| 機能 | Blur.me | Redact | Premiere Pro | DaVinci Resolve | Viso.ai | Facepixelizer |
|---|---|---|---|---|---|---|
| 料金 | 無料プランあり / 有料プランは割引コードで最大30%オフ | $99/月〜 | $28.99/月 | 無料版あり / Studio版$295買い切り | 要問い合わせ(エンタープライズ向け) | 完全無料 |
| プラットフォーム | Webブラウザ(モバイル対応) | Windows/Mac デスクトップ | Windows/Mac デスクトップ | Windows/Mac/Linux デスクトップ | API/クラウド | Webブラウザ |
| 処理速度 | 5分動画を約30秒で処理 | 5分動画を約3〜5分で処理 | 手動トラッキングで5分動画に30〜60分 | 手動トラッキングで5分動画に30〜60分 | リアルタイム処理可能 | 1枚の画像を約3秒で処理 |
| 自動検出 | ✅ AI自動検出(顔・ナンバープレート・全身) | ✅ AI自動検出(顔・ナンバープレート) | ❌ 手動トラッキング必須 | ❌ 手動トラッキング必須 | ✅ AI自動検出(顔・物体) | ✅ AI自動検出(顔のみ) |
| 一括処理 | ✅ 数百ファイルを一括処理 | ✅ 複数動画の一括処理 | ❌ 1ファイルずつ | ❌ 1ファイルずつ | ✅ API経由で大量処理 | ❌ 1枚ずつ |
| 出力形式 | MP4, MOV, JPG, PNG | MP4, AVI, MOV | MP4, MOV, AVI, ProRes | MP4, MOV, MXF, ProRes | カスタム対応 | JPG, PNG |
| 学習コスト | 初心者向け(3ステップ) | 中級者向け(設定項目多数) | 上級者向け(動画墨消し処理スキル必須) | 上級者向け(動画墨消し処理スキル必須) | 中級者向け(API統合必要) | 初心者向け |
| 最適な用途 | 教育機関・医療機関の動画匿名化、SNS投稿前の顔ぼかし | 警察・行政機関の証拠映像処理 | プロの動画墨消し処理者向け制作ワークフロー | カラーグレーディング重視の映像制作 | 大規模CCTV監視システムの匿名化 | 個人ブログ用の静止画ぼかし |
どのツールを選ぶべきか
予算重視なら、Facepixelizerが完全無料で静止画の顔ぼかしに対応します。ただし動画は非対応です。DaVinci Resolveの無料版も選択肢ですが、手動トラッキングに30分以上かかります。
プロの映像制作者なら、Premiere ProやDaVinci Resolveが既存のワークフローに統合しやすいです。ただし、キーフレーム設定に時間がかかるため、大量の動画を処理する場合は非効率です。
企業のコンプライアンス対応なら、RedactとViso.aiがエンタープライズ向け機能を提供します。Redactは警察や行政機関での実績があり、Viso.aiはリアルタイムCCTV匿名化に特化しています。料金は月額$99以上または要問い合わせです。
教育機関・医療機関・中小企業なら、Blur.meが最もバランスが取れています。AI自動検出により5分動画を約30秒で処理でき、手動墨消し処理ツールと比較して処理時間を最大95%削減します。Webブラウザで動作するため、ソフトウェアのインストールや更新が不要で、IT担当者の負担を軽減できます。個人情報保護委員会が求める安全管理措置の一環として、動画データの匿名加工情報化を効率的に実現します。無料プランで全機能を試せるため、予算が限られた組織でも導入しやすい点が特徴です。
Premiere Proの手動マスク作業が10〜30分かかる場合でも、Blur.meはAI自動検出で動く顔を追跡し、個人情報保護委員会への報告用資料を30秒で処理します。キーフレーム設定なしで複数の児童の顔を一括ぼかしできるため、保護者同意が得られていない映像の公開リスクを防ぎます。
個人情報保護法違反リスクを防ぐため、Blur.meは顔検出漏れゼロで処理し、本人同意なき公開を回避します。
手動追跡不要。ブラウザベースで安全。
FAQ
個人情報保護法違反の罰則はどのくらいですか?
個人情報保護委員会の命令違反は法人に最大1億円、個人に最大100万円の罰金が科されます。不正利益目的の個人データ提供は法人1億円以下、個人1年以下の拘禁刑または50万円以下の罰金です。データベース不正提供は最も重く、法人1億円以下、個人2年以下の拘禁刑または100万円以下の罰金となります。2022年改正で罰則が大幅に強化されました。
個人情報漏洩が発覚したらどうすればいいですか?
漏洩発覚後は速やかに個人情報保護委員会へ報告し、本人への通知を72時間以内に実施する必要があります。報告義務は2022年4月から施行され、1,000人以上の個人データ漏洩や要配慮個人情報の漏洩は必須報告対象です。同時に原因調査と再発防止策を文書化し、プライバシーポリシーの更新も検討してください。対応の遅れは行政処分や損害賠償請求のリスクを高めます。
個人情報保護法違反で逮捕されることはありますか?
不正な利益を図る目的で個人データベースを第三者提供した場合、刑事罰の対象となり逮捕される可能性があります。ベネッセの元システムエンジニアによる3,504万件の顧客情報持ち出し事例では、不正競争防止法違反で逮捕・起訴され実刑判決が下りました。個人情報保護委員会の改善命令や是正命令に従わない場合も、拘禁刑の対象です。悪質性が高いケースでは刑事告発されるリスクがあります。
企業が個人情報保護法違反で受ける処分は?
行政処分は指導・勧告から始まり、改善されない場合は命令、最終的に罰金刑に進みます。リクナビの内定辞退率予測データ販売事例では勧告処分を受け、社会的信用が大きく失墜しました。LINEの個人データ中国サーバー保管問題では行政指導と業務改善命令が出されています。処分内容は個人情報保護委員会の違反事例集で公開され、企業名も公表されるため風評被害も深刻です。
動画や写真に映った顔情報も個人情報保護法の対象ですか?
結論
個人情報保護法違反は最大1億円の罰金や企業名公表など、経済的・社会的リスクが甚大です。まず自社のプライバシーポリシーと動画・画像の取り扱い手順を見直してください。監視カメラ映像や顔認識データを扱う場合、動画内の顔を自動でぼかす方法を導入すれば、本人同意なしの第三者提供リスクを回避できます。コンプライアンス体制の構築には技術的対策と従業員教育の両輪が不可欠です。
