個人情報保護法における罰則は、旧個人情報保護法(以下、旧法)では、第6章で規定され、以下の第56条〜第59条の4つの条文で構成されています(下線は筆者補足)。つまり、個人情報の取り扱いの不備に直接罰則が科されるのではなく、「勧告及び命令」や「報告」に対して違反した場合に科される間接罰となっています。

  • 第56条 第34条(勧告及び命令)第2項または第3項の規定による命令に違反した者は、6月以下の懲役又は30万円以下の罰金に処する。
  • 第57条 第32条(事業者に対する報告の徴収)又は第46条(認定個人情報保護団体に対する報告の徴収)の規定による報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処する。
  • 第58条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
  •  2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
  • 第59条 次の各号のいずれかに該当する者は、十万円以下の過料に処する。
  •  一 第40条第1項(廃止の届出)の規定による届出をせず、又は虚偽の届出をした者
  •  二 第45条(名称の使用制限)の規定に違反した者

一方、新個人情報保護法(以下、新法)では、罰則は第7章として規定され、第82条〜第87の6つの条文で構成されています。しかし、第82条は「個人情報保護委員会」に対する罰則、第84条は旧法の第56条と同じ、第85条は旧法の第57条に相当、第88条は旧法の第59条に相当します。そうすると新法で注意すべき罰則は、以下の第83条、第86条、第87条であると言えます。

  • 第83条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。
  • 第86条 第82条及び第83条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
  • 第87条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
  •  2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

第83条は、いわゆる「データベース提供罪」といわれる罰則で、旧法と異なり直接罰となっています。また、第86条は外国における違反にも適用(域外適用)。第87条は、違反行為者を罰するだけでなく、法人に対しても罰則(罰金刑)を適用するという両罰規定となっています。

つまり、新法の罰則は、①直接罰、②域外適用、③両罰規定の3つが旧法と異なるポイントです。ちなみに、両罰規定は旧法の第58条にもありますが、旧法は間接罰、新法は直接罰であることから、前提が全く異なることに法人の代表者等は認識しておくことが大切です。

以上

0049 個人情報保護法における罰則