情報漏洩の損害賠償相場 被害者1人あたりの金額・算定基準・判例を弁護士が解説

2026年06月23日

「うちの会社から情報が漏れた。被害者に1人いくら払えばいい？」「漏洩したのは数千人分だが、総額はどの程度になる？」

情報漏洩が発生した企業の担当者・経営者から、最もよく寄せられる質問のひとつです。

結論から先に言えば、判例のデータを見ると被害者1人あたり3,000〜35,000円の範囲に収まるケースが多いです。しかしあなたの会社のケースがその範囲に収まるとは限りません。

漏洩した情報の性質、企業の事後対応の良し悪し、二次被害の有無によっては、1人あたりの賠償額が数十万円単位に跳ね上がるケースも実際に存在します。

本記事では、弁護士の立場から①判例に基づく相場感、②裁判所が賠償額を決める際の算定基準、③見落とされがちな「賠償以外のコスト」まで、実務で使える情報を体系的に解説します。

この記事を監修したのは

代表弁護士 春田 藤麿

第一東京弁護士会 所属

経歴

慶應義塾大学法学部卒業
慶應義塾大学法科大学院卒業
都内法律事務所勤務
当事務所開設

資格

宅地建物取引士
情報処理安全確保支援士

詳しくはこちら

情報漏洩の損害賠償相場｜金額の目安を判例から整理

被害者1人あたり3,000〜35,000円が多い

国内の情報漏洩に関する民事訴訟の判決・和解事例を集計すると、最も件数が多い賠償帯は1人あたり3,000円〜35,000円です。

この水準が多い理由は「プライバシー侵害の慰謝料」という損害の性質にあります。

情報漏洩による損害の本質は、財産的な実損（お金が盗まれた等）よりも「自分の情報が漏れたことの精神的苦痛（プライバシー侵害）」であることがほとんどです。裁判所は精神的損害の賠償（慰謝料）を算定する際、以下のような相場感を持って判断します。

ただしこれはあくまでも「慰謝料」部分の目安です。二次被害（不正利用・フィッシング詐欺等）が生じた場合は財産的損害が上乗せされ、合計額は大きく膨らみます。

「数万円」では済まないケース｜機微情報が含まれる場合

以下の要素が一つでも当てはまると、賠償額が通常の水準を大きく上回る可能性があります。

①要配慮個人情報（センシティブ情報）の漏洩

個人情報保護法が定める「要配慮個人情報」——病歴、障害、犯罪歴、宗教、性的指向など——が含まれる場合、裁判所はプライバシー侵害の程度を重くみます。医療機関・福祉施設の情報漏洩事案では、1人あたり50,000〜100,000円台の賠償が認められた例もあります。

②クレジットカード情報・金融情報の漏洩

カード番号・有効期限・セキュリティコードが揃って漏洩した場合は、精神的損害に加えて「不正使用の危険にさらされたこと自体の損害」が認められるため、賠償額が高額化します。さらに実際に不正利用が発生すれば、その財産的損害が上乗せされます。

③悪意ある漏洩・長期間の放置

外部への売却や長期間の隠蔽が判明した場合は、企業の「過失」ではなく「故意・重過失」が認定され、賠償額が跳ね上がります。被害者感情も激化するため、集団訴訟に発展するリスクも高まります。

損害賠償額の算定基準｜裁判所が重視する5つの要素

情報漏洩の損害賠償額は「相場」から機械的に計算されるものではなく、裁判所が個別事情を総合的に判断して決めます。実務上、特に重視される要素を解説します。

漏洩した情報の性質・機微性

前述の通り、何が漏れたかが賠償額に最も大きく影響します。氏名のみと口座情報では、同じ「1件」でも損害の質が根本的に異なります。

自社が保有する情報の中に要配慮個人情報が含まれているかどうかは、インシデント発生前から把握しておく必要があります。

漏洩人数と情報の拡散範囲

漏洩人数が多いほど総額が増えるのは当然ですが、「拡散の広がり」も考慮されます。

• 社内に留まっておりインターネット上に流出していない → 比較的軽微
• ダークウェブ上で売買されていることが判明した → 拡散リスク大＝損害重大

また、漏洩後に迅速に流出データの削除・差し止めができた場合は、損害の拡大防止が評価される場合があります。

企業の安全管理措置の不備の程度

個人情報保護法は企業に「安全管理措置」を義務づけています（法23条）。この義務をどれほど怠っていたかが、「過失の重大性」として評価されます。 

• パスワードを使い回していた・SQLインジェクション対策をしていなかった → 基礎的な対策不備 → 過失重
• 業界標準のセキュリティ対策を講じていたが高度な攻撃を受けた → 軽過失 → 賠償額が下がる方向

事後対応の迅速性・誠実性

漏洩発覚後の対応が「加点」にも「減点」にもなります。

二次被害の発生有無

フィッシング詐欺やなりすまし被害など、漏洩に起因した具体的な二次被害が発生している場合、その財産的損害が全額賠償対象となります。二次被害の立証は被害者側が行いますが、漏洩との因果関係が認められやすい状況（短期間での被害発生等）では、企業側の反論が難しくなります。

主要判例まとめ｜実際の判決額と特徴

宇治市住民基本台帳漏洩事件（1999年）

市が委託した業者のアルバイト従業員が住民基本台帳の電子データを複製・販売した事件です。漏洩した情報は氏名・住所・生年月日・性別。

裁判所は「漏洩情報の機微性は高くないが、行政が管理するデータという性質上、住民の信頼を裏切ったことの精神的損害を重く評価した」と認定しました。この判決は現在も「機微性が低い情報の漏洩における下限水準」として参照されています。

TBC（エステ会社）個人情報漏洩事件（2006年）

ウェブサイトの脆弱性をつかれ、エステのカウンセリング内容（体型・コンプレックス等の記載）が漏洩した事件です。 

カウンセリング内容というセンシティブな情報が漏洩したこと、企業のセキュリティ対策が不十分だったことが高額賠償の要因です。「氏名・住所だけでも体型・美容情報と紐づくと機微性が上がる」という判断は、後の判例にも影響を与えています。

Benesse個人情報漏洩事件（2014年）

内部の委託先社員がスマートフォンで顧客情報を不正持ち出し、名簿業者に売却した事件。約3,500万件の情報が流出し、業界最大規模の事案となりました。

訴訟に発展したケースでは1人あたり3,000〜10,000円程度で和解したとされています。規模の大きさに比べ賠償額が抑えられた理由として、「漏洩情報が氏名・住所・電話番号程度であった」「Benesse側が迅速に謝罪・対応した」点が挙げられます。

クレジットカード情報漏洩で高額化するケース

ECサイトでのクレジットカード情報漏洩事案では、不正利用被害が実際に生じた場合の損害額が加算されるため、1人あたり数万〜数十万円になるケースがあります。

また、PCI DSS（クレジットカード情報セキュリティ基準）に違反していた場合は、カードブランドからの制裁金・調査費用・加盟店資格の停止といったコストが別途発生し、民事賠償以上の経済的打撃を受けることがあります。 

集団訴訟リスク｜件数が多いと総額は億単位に

「1人あたり10,000円なら大した金額ではない」と感じるかもしれませんが、漏洩件数が多い場合は単純な掛け算で総額が膨らみます。

さらに、訴訟の場合は弁護士費用（認容額の約10%）が上乗せされるのが一般的です。被害者側の弁護士費用の支払義務が生じると、実質的な賠償負担はさらに増加します。

日本にはアメリカのようなクラスアクション（集団訴訟）制度はありませんが、消費者裁判手続特例法（2016年施行）により、消費者団体が共通争点を一括して確認訴訟を提起できる仕組みがあります。同一事案の被害者数が多い場合は、この制度が活用されるリスクがあります。

損害賠償以外のコスト｜企業が見落としがちな隠れた費用

情報漏洩事案において、企業が支出するコストは被害者への損害賠償だけではありません。実務上、賠償以外のコストが賠償額を上回るケースも少なくありません。

個人情報保護委員会への対応コスト

2022年4月施行の改正個人情報保護法により、一定規模以上の個人情報漏洩は個人情報保護委員会への報告が義務となりました。報告対応だけでなく、委員会からの調査・質問票への対応、勧告を受けた場合の改善計画策定など、法務・コンプライアンス部門のリソースが大幅に割かれます。

報告が必要な主な場合

• 要配慮個人情報の漏洩
• 財産的被害が生じるおそれのある漏洩（カード情報等）
• 不正な目的による漏洩
• 1,000人超の個人情報の漏洩

報告義務違反は命令・勧告の対象となり、命令違反は刑事罰（1年以下の懲役または100万円以下の罰金）が科されます。

被害者対応・コールセンター設置費用

大規模な漏洩では、被害者への個別通知（郵送費）、問い合わせ対応のコールセンター設置、ウェブサイトへのお詫び掲載、場合によってはクレジット監視サービスの提供（1人あたり数千円/年）といった費用が発生します。これらは直接の賠償ではありませんが、総対応コストとして数億円規模になることもあります。

フォレンジック調査費用

攻撃の経路・範囲を特定するためのデジタルフォレンジック調査は、外部専門業者に依頼する場合、数百万〜数千万円の費用がかかります。この費用は加害者から回収できるとは限らず、企業が自己負担するケースがほとんどです。

取引先・株主からの損害賠償

BtoB取引において、委託元企業が漏洩の当事者である場合、委託先から契約上の安全管理義務違反を理由とした損害賠償請求を受けることがあります。また、上場企業では株価下落に伴う株主代表訴訟のリスクも生じます。

被害を受けた側（個人・企業）として賠償請求する場合

自社または個人として情報漏洩の被害を受けた側で損害賠償を請求したい場合、以下の点を押さえておく必要があります。

証拠を確保する

漏洩の事実、どの情報が漏れたか、それによって生じた実害を示す証拠を集めます。不審なDMの受信記録、フィッシングメールのスクリーンショット、カードの不正利用明細などが有効な証拠になります。

消滅時効に注意する

損害賠償請求権は、損害および加害者を知った時から3年（または不法行為から20年）で時効消滅します。漏洩の公表から時間が経過している場合は早急に弁護士に相談することが重要です。

少額の場合は少額訴訟または消費者団体経由を検討する

1人あたりの賠償額が数千円〜数万円の場合、個人で訴訟を起こすと費用倒れになる可能性があります。少額訴訟制度（60万円以下）の活用や、消費者団体による集合的解決の動きへの参加を検討してください。

よくある質問（FAQ）

Q：情報漏洩で損害賠償を請求するのに、弁護士費用はいくらかかりますか？

A：弁護士費用は事案の規模・複雑さによって異なりますが、一般的には着手金20〜50万円程度、解決時の報酬金が回収額の15〜20%程度が目安です。被害者1人あたりの賠償額が低いため、個人が単独で弁護士を立てると費用倒れになるリスクがあります。一方、企業側（支払う側）の場合は、集団訴訟・委員会対応を含む総コスト管理の観点から、早期の弁護士関与が結果的にコストを抑えることが多いです。

Q：示談で見舞金を支払った場合、後から被害者に訴訟を起こされる可能性はありますか？

A：見舞金の支払いだけでは示談（損害賠償請求権の放棄）は成立しません。「この金額で今後一切の請求を行わない」旨の示談書・和解書を取り交わすことが必要です。見舞金を受け取りつつ後日訴訟を提起することは法律上可能なため、示談書なしの見舞金は「支払い損」になるリスクがあります。

Q：情報漏洩の損害賠償請求には消滅時効がありますか？

A：あります。民法724条  により、損害および加害者を知った時から3年（漏洩の事実を被害者が知った日から起算）で時効消滅します。また、損害が客観的に発生した時から20年の消滅時効期間もあります（令和2年改正後）。漏洩公表から時間が経過している場合は、早急に弁護士へ相談してください。

Q：個人情報保護委員会への報告を行えば、被害者からの損害賠償請求を避けられますか？

A：避けられません。委員会への行政報告と被害者への民事賠償は独立した問題です。ただし、迅速な報告・公表・被害者への誠実な対応は、裁判所が過失の程度を評価する際に「軽減事由」として考慮される場合があります。

Q：漏洩したのが「氏名だけ」でも損害賠償請求は認められますか？

A：氏名単独での損害認定は難しい傾向にあります。ただし、氏名と他の情報（住所・電話番号・顔写真等）が組み合わさることで「特定の個人を識別できる情報」となり、プライバシー侵害が認められるケースがあります。また、氏名のみであっても本人が望まない形で第三者に開示されたこと自体の精神的損害が認められた事例もあるため、一概に「氏名だけなら問題なし」とは言えません。

弁護士に相談すべきタイミングと準備事項

情報漏洩が発生した（または疑いがある）場合、早期の弁護士関与が重要な理由は3点です。

証拠保全のタイムリミット

サーバーのアクセスログ、メールの送受信記録などは一定期間後に消去される場合があります。弁護士が早期に証拠保全の指示を出すことで、後の責任追及・防御に必要な証拠が確保できます。

個人情報保護委員会への報告義務の判断

報告対象かどうかの判断は法的知識を要します。報告を要しないケースで誤って報告しても問題はありませんが、報告すべきケースで報告しなかった場合は義務違反となります。

被害者・取引先への通知文の適切な作成

通知文の内容が「過剰な謝罪」になると、後の訴訟で不利な証拠として使われることがあります。弁護士が関与することで、法的に適切な表現を確保できます。

相談時に準備しておくと良いもの

• 漏洩が疑われる情報の種類と件数（概算でも可）
• 漏洩の経緯・発覚の経緯
• これまでに実施したセキュリティ対策の概要（社内規程等）
• 被害者・取引先からの連絡・問い合わせの記録

情報セキュリティのコラムをもっと読む

※内容によってはご相談をお受けできない場合がありますので、ご了承ください。