「NHK NEWS WEB」の記事です。個人情報保護法の改正に関して、個人情報保護委員会は罰金の上限額を最高1億円まで引き上げる方針を固めたとのこと。固めた＝内閣に提出した素案にそれを盛り込んだ、ということですね。

www3.nhk.or.jp

ただし、上記の記事は「委員会は～方針を固めました。」と書いてあるだけで正式発表ではない点はご注意ください。ここでまず、現行法の罰則を確認しておきます。以下資料の18ページに記載があります。

https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf

＜罰則＞

①国からの命令に違反した場合

⇒6カ月以下の懲役又は30万円以下の罰金

②虚偽の報告等をした場合

⇒30万円以下の罰金

③従業員等が不正な利益を得る目的で個人情報データベース等を提供、又は、盗用した場合（個人情報データベース等不正提供罪）

⇒1年以下の懲役又は50万円以下の罰金

という感じです。さて今回のNHKの報道によると、これが以下のようになります。

①の罰金を30万円以下から100万円以下に引き上げ

②の罰金を30万円以下から50万円以下に引き上げ

③について法人が組織的に※不正を行った場合、罰金を50万円以下から1億円以下に引き上げ（従業員の個人的な盗用事件等の場合は、罰金50万円以下で変わらず？不明）

※③の「法人が組織的に」の部分はNHK記事からの私の推測ですが、たぶん合っていると思います。ただこれも個人的な憶測ですので、間違っていても責任は取れません。そこはごめんなさい。それと括弧内、組織的犯行でなく従業員の個人的な犯行の場合はどうなるのか、その点は記事からは読み取れません。

また、記事では触れていませんが金額の引き上げだけでなく、恐らく懲役期間も長くされるのではないかと思います。これも全くの憶測ですが・・・

①は6カ月以下から1年～5年以下に延長されるのではないでしょうか。酒酔い運転の例だと罰金100万以下で懲役5年以下ですので、これと同等くらいまで行けば、ある程度実行力が伴ってくる(目に見えて効果が出てくる)と思います。懲役3年を超えると執行猶予つきませんので、それを超えさせるべきです。

③の企業の組織的不正の場合、幹部に懲役が科せられるのかはまだわかりません。

罰則強化は先日公開された大綱の意見書でもわかります通り、業界側の反対意見は非常に多かったのですが（現行法下でもきちんと管理されているので罰則強化の必要は無い、という噴飯物の意見もあったような）、委員会は罰則強化をしっかり入れてきました。
まあそうしないと誰も本気で漏洩対策に取り組みませんから。経営に深刻なダメージを与え得る程度の大きな罰金を科せるようになるということは、今後まともなデータ管理ができない、あるいは管理する気のない事業者は個人情報取り扱い業界から退場しなさい、というメッセージです（聞いてます？国立印刷局！）。

上限一杯課されるのは、よほど悪質かつ深刻な場合に限られるのでしょうが、それでも大きな前進ですね。まだ甘いですけど。超大手企業なら1億でも端金ですから、せめて100億円くらいが妥当ではないですかね。アメリカなら1兆円。

後は非合法な相手に対してどういう罰則強化（新設）がなされるのか、そこはまだ明らかになっていませんので、注目したいと思います。当然強化されるはずです。