「もし自社で個人情報が漏洩したら、損害賠償はいくらになるのか」
情シスや総務の担当者にとって、想像するだけで不安な問題です。
過去の判例では被害者1人あたり数千円〜3万5,000円程度の賠償が認定されており、漏洩件数が多ければ総額はさらに膨らみます。
近年はランサムウェアや内部不正による大規模漏洩も相次いでおり、対応を誤れば信用まで失いかねません。
本記事では、損害賠償額の相場と金額を左右する要因、近年の企業事例を整理したうえで、賠償リスクを根本から断つための「個人情報漏洩を防ぐセキュリティ対策」まで解説します。

目次
個人情報漏洩で企業が損害賠償を支払うことになる仕組み
個人情報を漏洩させた企業は、被害者に対して損害賠償責任を負う可能性があります。
根拠となるのは、民法上の不法行為責任(民法709条)や、委託先が漏洩を起こした場合の使用者責任(民法715条)です。
損害賠償は、必ずしも金銭的な実害が出ていなくても認められる点が特徴といえます。
過去の判例でも、情報が適切に管理されなかったことによる精神的苦痛に対して慰謝料が認定されてきました。
ここではまず、企業が責任を負うケースと、損害賠償以外に問われる責任を整理します。
企業が損害賠償責任を負う2つのケース
個人情報漏洩で企業が損害賠償を求められるケースは、大きく2つに分かれます。
- 顧客の個人情報を漏洩したケース:会員情報や購入履歴などが流出し、顧客から慰謝料を請求される
- 従業員の個人情報を漏洩したケース:人事情報やマイナンバーなどが流出し、従業員から請求される
顧客情報の漏洩が注目されがちですが、企業は従業員の情報についても同様に管理責任を負います。
損害賠償以外に企業が問われる責任
個人情報漏洩で企業が問われる責任は、被害者への損害賠償だけではありません。
責任は次の3種類に整理できます。
| 責任の種類 | 内容 | 主な根拠 |
|---|---|---|
| 民事責任 | 被害者への損害賠償(慰謝料など) | 民法709条・715条 |
| 刑事責任 | 不正な提供・盗用などへの罰則 | 個人情報保護法 |
| 行政責任 | 個人情報保護委員会による指導・勧告・命令 | 個人情報保護法 |
2022年(令和4年)施行の改正個人情報保護法では、法人に対する罰金の上限が最大1億円へ引き上げられるなど、罰則が大幅に強化されました。
さらに、行政指導が入れば再発防止策の報告義務も生じます。
企業は損害賠償に加えて、行政処分や刑事罰のリスクも同時に背負うことになるのです。
個人情報漏洩による損害賠償金額の相場
個人情報漏洩の損害賠償は、被害者1人あたりで見ると数千円程度が中心です。
しかし、企業が実際に負担するのは賠償金だけではなく、調査や通知にかかる対応コストも含めた総額となります。
「1人あたりの単価」と「企業全体の総額」は、必ず分けて捉えることが重要です。
ここでは2つの視点から相場を解説します。
被害者1人あたりの慰謝料の相場
過去の判例では、一般的な連絡先情報のみが漏洩し二次被害もない場合、被害者1人あたりの認定額はおおむね1,000円〜1万1,500円程度です。
| 判例 | 漏洩した情報の内容 | 二次被害 | 1人あたりの認定額 |
|---|---|---|---|
| ベネッセ個人情報漏洩事件(東京・大阪高裁判決/最高裁で確定) | 氏名・住所・電話番号などの基本情報 | なし | 1,000円〜3,300円 |
Yahoo! BB個人情報漏洩事件(大阪高裁 平成19年6月21日判決・確定) | 氏名・住所・連絡先などの基本情報 | なし | 1万1,500円(2社合計) |
| TBC個人情報漏洩事件 (東京高裁 平成19年8月28日判決) | 基本情報+エステへの関心など機微情報 | あり | 3万5,000円(二次被害なしは2万2,000円) |
このように、漏洩した情報が氏名や連絡先などの基本情報にとどまり、二次被害がなければ1人あたりの認定額は数千円程度が目安となります。
一方、機微な情報が含まれたり、迷惑メールやいたずら電話などの二次被害が発生したりすると、3万5,000円程度まで高額化する傾向です。
【出典】
- ベネッセ事件:日本経済新聞「ベネッセ側に1300万円賠償命令 個人情報流出で東京地裁」
- Yahoo! BB事件:ITmedia NEWS「Yahoo!BB情報流出で1人6000円の賠償命令」
- TBC事件:栄光綜合法律事務所「TBCの個人情報流出で3万5000円の賠償命令」
このように、漏洩した情報が氏名や連絡先などの基本情報にとどまり、二次被害がなければ1人あたりの認定額は数千円程度が目安となります。
一方、機微な情報が含まれたり、迷惑メールやいたずら電話などの二次被害が発生したりすると、3万5,000円程度まで高額化する傾向です。
企業が負担する賠償金以外の対応コスト
損害賠償は1人あたりの単価が小さくても、被害者の数だけ積み上がります。
JNSA(日本ネットワークセキュリティ協会)の調査では、個人情報漏洩における1人あたりの平均想定損害賠償額は2万8,308円とされており、漏洩件数が多いほど総額は膨らみます。
さらに、企業が負担するコストは賠償金だけではありません。
実際には次のような対応費用も発生します。
- 漏洩範囲を特定するための調査・フォレンジック費用
- 被害者への通知やお詫び対応(コールセンター設置など)
- 個人情報保護委員会への報告や再発防止策の構築費用
- 事業停止による利益の損失
同調査によると、初動対応とフォレンジック調査だけでも概ね300万〜400万円程度、対象端末が多ければ数千万円に達するとされます。
中小企業であっても数千万円単位、場合によっては億単位のコストがかかる点に注意が必要です。
個人情報漏洩による損害賠償リスクの実態3選
ここからは、近年実際に起きた企業の個人情報漏洩事例を紹介します。
1人あたりの認定額は数千円程度でも、漏洩件数が数百万件規模になれば、賠償総額や対応費用は膨大なものとなります。
「外部からのサイバー攻撃」「内部不正」「委託先経由」という3つの原因区分に沿って、リスクの実態を見ていきましょう。
KADOKAWAグループ ランサムウェア被害による個人情報漏洩
外部からのサイバー攻撃による大規模漏洩の代表例が、KADOKAWAグループの事案です。
2024年6月、同社グループのデータセンター内サーバーがランサムウェア(データを暗号化して身代金を要求するマルウェア)を含む大規模なサイバー攻撃を受けました。
同社の公表によると、漏洩した個人情報は約25万人分にのぼります。
対象にはドワンゴの全従業員、取引先クリエイター、N中等部・N高等学校・S高等学校の在校生や卒業生などが含まれました。
原因は、フィッシング攻撃によって従業員のアカウント情報が窃取されたことと推測されています。
同社は、社外のセキュリティ専門企業の支援を受けて調査を進めるとともに、個人情報保護委員会へ報告を行ったと公表しています。
従業員1人のアカウント情報が窃取されたことが、グループ全体を巻き込む大規模漏洩の起点となった事例です。
【出典】KADOKAWA「ランサムウェア攻撃による情報漏洩に関するお知らせ」(2024年8月5日)
NTTビジネスソリューションズ(NTT西日本子会社)元派遣社員による顧客情報流出
内部不正による漏洩として、規模の大きさで知られるのがNTTビジネスソリューションズの事案です。
同社に派遣されていた元派遣社員が、システム管理者アカウントを悪用してサーバーにアクセスし、顧客情報を不正に持ち出していました。
流出した顧客情報は928万件、影響を受けたクライアント数は69社にのぼります。
持ち出しは約10年間にわたって続き、情報は名簿業者へ売却されていました。
総務省はNTT西日本に対し、委託先の適切な監督を行うよう行政指導を実施しています。
本事案では、NTT西日本の社長が引責辞任する事態にまで発展しました。
正規の権限を悪用する内部不正は、外部攻撃対策だけでは防ぎきれない点に注意が必要です。
【出典】NTTビジネスソリューションズ「元派遣社員によるお客さま情報の不正流出について(続報)」
イセトー ランサムウェア被害による委託元情報の漏洩
委託先を起点とした漏洩の事例が、印刷会社イセトーの事案です。
2024年5月、同社の複数のサーバーがランサムウェアによる攻撃を受け、預かっていた委託元の個人情報が外部に流出しました。
漏洩した個人情報は約150万件規模とされ、自治体・金融機関・企業など幅広い委託元に影響が及びました。
豊田市では約42万人分の情報が漏洩したと推定され、同市は対策室を設置したうえで、対応にかかった費用をイセトーへ損害賠償請求する方針を公表しています。
自社が直接漏洩させていなくても、委託元は監督義務を問われ、委託先は賠償請求を受けます。
サプライチェーン全体でのセキュリティ対策が不可欠です。
【出典】イセトー「不正アクセスによる個人情報漏えいに関するお詫びとご報告」(2024年10月4日

個人情報漏洩の損害賠償額を左右する4つの要因
同じ個人情報漏洩でも、損害賠償額は事案によって数千円から数万円まで大きく変わります。
金額を左右する主な要因は次の4つです。
自社で漏洩が起きた場合のリスクを見積もる参考にしてください。
漏洩した情報の内容(機微情報かどうか)
賠償額を左右する最大の要因が、漏洩した情報の内容です。
氏名・住所・連絡先といった基本情報のみであれば、1人あたりの認定額は数千円程度にとどまる傾向があります。
一方、クレジットカード情報や、病歴・思想信条などの要配慮個人情報(本人が特に配慮を必要とする機微な情報)が含まれると、賠償額は大きく上がります。
悪用リスクや精神的苦痛が大きいと判断されるためです。
二次被害の有無
漏洩した情報が実際に悪用され、二次被害が発生したかどうかも重要な要因となります。
なりすましや不正利用、迷惑メールの増加といった具体的な被害が生じると、賠償額は高額化する傾向です。
TBCの事例では、二次被害を受けた被害者に3万5,000円、二次被害のない被害者に2万2,000円と、同じ事件でも被害の有無で金額に差がつきました。
漏洩後の被害拡大をいかに防ぐかが問われます。
漏洩件数と社会的影響の大きさ
漏洩の規模も、企業が負う総額に直結します。
1人あたりの単価が同じでも、漏洩件数が多ければ賠償総額は比例して膨らみます。
NTT西日本子会社の928万件のように件数が大きい事案では、企業が負担する総額も相応に大きくなります。
また、社会的な注目を集めた事案は報道による信用低下も深刻です。
件数の多さは、金額面・社会的影響の両面でリスクを高めます。
漏洩後の企業対応の適切さ
漏洩そのものだけでなく、発覚後の企業対応も賠償額に影響します。
迅速な公表、被害者への誠実な通知、再発防止策の実施などが評価されれば、賠償額が抑えられる方向に働くことがあります。
逆に、公表の遅れや不誠実な対応は被害者の不信感を高め、賠償額の増加や訴訟の長期化を招きかねません。
日頃からインシデント発生時の対応フローを整えておくことが重要です。
関連記事:情報セキュリティリスクとは?リスクの種類と発生原因、対策方法を紹介
個人情報漏洩を防ぐためのセキュリティ対策3選
ここまで見てきたとおり、いざ個人情報が漏洩すれば、企業は多額の損害賠償と対応コスト、そして信用低下という大きな損失を負います。
だからこそ重要なのが、漏洩を「起こさせない」ための事前のセキュリティ対策です。
対策は「技術・組織・人」の3つの側面から多層的に講じることがポイントとなります。
技術的対策|不正アクセス・マルウェアを防ぐ仕組みを導入する
外部からのサイバー攻撃や不正アクセスを防ぐには、技術的な仕組みの導入が欠かせません。
主な対策として、次のようなものが挙げられます。
- EDR(Endpoint Detection and Response:端末の不審な挙動を検知・対応する仕組み)の導入
- ファイアウォールやUTMによる通信の監視・制御
- 多要素認証によるアカウントの不正利用防止
- データの暗号化による、万一流出した際の被害軽減
KADOKAWAの事例では、フィッシングによるアカウント窃取が侵入の起点となりました。
多要素認証やEDRを組み合わせれば、侵入を許した場合でも早期に検知し、被害を最小限に抑えやすくなります。
関連記事:EDR導入とは?手順・費用・選定ポイントをわかりやすく解説
組織的対策|情報管理ルールとアクセス権限を整備する
技術面だけでなく、組織としての管理体制を整えることも重要です。
誰がどの情報にアクセスできるかを適切に管理すれば、内部不正や誤操作による漏洩リスクを下げられます。
- 保有する情報資産を棚卸しし、情報資産管理台帳で可視化する
- アクセス権限を業務上必要な範囲に絞る(最小権限の原則)
- 情報の持ち出しやデバイス利用に関するルールを策定する
- アクセスログを記録・監視し、不審な操作を検知する
NTT西日本子会社の事例では、システム管理者権限の悪用が約10年間見過ごされていました。
権限管理とログ監視は、内部不正を防ぐうえで欠かせない仕組みです。
関連記事:情報資産管理台帳とは?記載項目一覧と作成3ステップ【Excel例・ISMS対応】
人的対策|従業員教育でヒューマンエラーを減らす
漏洩原因の多くは、標的型メールの開封や誤送信といった人的ミスに起因します。
どれほど技術・組織の対策を固めても、従業員一人ひとりの意識が低ければ漏洩は防げません。
具体的には、次のような取り組みが有効です。
- 標的型攻撃メールを模した訓練の実施
- 個人情報の取り扱いルールの周知徹底
- 定期的なセキュリティ研修の開催
従業員の危機意識を高めることで、ヒューマンエラーによる漏洩を大きく減らせます。
技術・組織・人の3つがそろって、はじめて多層的な防御が完成するのです。
個人情報漏洩のセキュリティ対策なら『IT顧問 情シス君』におまかせ
個人情報漏洩の損害賠償は、1人あたりは数千円でも、件数が積み上がれば企業にとって大きな負担となります。
加えて調査・通知などの対応コストもかかり、中小企業でも数千万円単位の損失につながりかねません。
賠償額は、漏洩した情報の内容・二次被害・件数・漏洩後の対応といった要因で大きく変動しました。
だからこそ、賠償リスクを根本から抑えるには、技術・組織・人の3側面からの事前対策が欠かせません。
とはいえ、「専任の情シスがいない」「何から手をつければよいかわからない」という企業も多いのではないでしょうか。
IT顧問 情シス君なら、EDRなどの技術的対策から、情報管理ルールの整備、従業員教育まで、個人情報漏洩を防ぐ多層的なセキュリティ対策を一気通貫で支援します。
専任担当者がいない中小企業でも、プロに任せることで抜け漏れのない対策体制を構築できます。
個人情報漏洩による損害賠償リスクに備えたい企業は、まずはお気軽にご相談ください。
ひとり情シスや兼任体制でガバナンス整備が進まないとお悩みの方は、ぜひ「IT顧問 情シス君」までご相談ください。







