個人情報が漏洩した可能性がある場合、まずは何をしたらよいのでしょうか?
顧客情報が流出した可能性があるのですが、どのように対応すればよいでしょうか?
漏洩発生の有無にかかわらず、まずはこれ以上の漏洩が発生しないよう暫定的な措置を講じ、被害拡大の防止を図ることが先決です。そして、仮に漏洩したことが確認できた場合、原因調査はもちろん、顧客への影響度(二次被害発生の可能性)はどの程度あるのかを考慮し、顧客への通知の要否等を判断するといった手順を踏むことになります。
初動対応の重要性
個人情報の漏洩というと、外部からの不正アクセスやウイルス感染等をイメージされる方が多いかもしれません。しかし、現実に起こっているのは人為的ミス、特に事例のようなアクセス制限を失念していた等の凡ミスというべきものに起因するものが多いのが実情です。
ただ、こうした凡ミスが原因であったとしても、個人情報を漏洩した事業者は、民事上の損害賠償責任や行政上の不利益処分といった法的制裁はもとより、厳しい社会的非難に晒されることは、昨今の情報漏洩事故の顛末を見ても明らかです。また特に厄介なのが、個人情報が漏洩した場合、個人情報を提供した本人に対して二次被害が生じ得ること、および漏洩した個人情報が半永久的に流通することで被害が発生し続けるという点です。
したがって、個人情報の漏洩に気が付いたら、とにもかくにも被害拡大を食い止めるという観点から、直ぐに適切な対応をとる必要があります。
まずは何をするべきか
この点、個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」において、次のような記述があります。(※)
① 事業者内部における報告及び被害の拡大防止
② 事実関係の調査及び原因の究明
③ 影響範囲の特定
④ 再発防止策の検討及び実施
⑤ 個人情報保護委員会への報告及び本人への通知
⑥ 事実関係及び再発防止策等について、速やかに公表
(※)「個人情報の保護に関する法律についてのガイドライン(通則編)」は、個人データが漏洩した場合を想定した記述です。しかし、昨今の事例などを見ていると、個人情報か個人データかを問わず、また個人識別性の有無を問わずパーソナルデータが漏洩した場合であっても、同様の対応が求められると考えられます。よって、本記事では個人データ該当性を考慮することなく引用しています。
ただ、中小企業のリソースを考えた場合、上記6つの事項を同時並行で進めていくことは難しいと思われます。したがって、現実的な観点からすると、優先順位をつけて1つずつ対処するほうがよいところ、1つの考え方として、次のような段取りを組むことが考えられます。
ステップ1
- 個人情報が漏洩したか否かの確認(本事例であれば、アクセスログの分析、元従業員に対する照会、インターネット掲示板等での書込み確認など)
- 原因の特定(本事例であれば、アクセス制限の設定ミス)
- 暫定的な漏洩拡大防止措置(本事例であれば、アクセス制限の再設定)
ステップ2
- 漏洩した可能性のある個人情報の内容と量の特定(本事例であれば、顧客情報の中にセンシティブ情報が含まれていないか、何名分の顧客が登録されているかなど)
- 漏洩先への削除等依頼(本事例であれば、元従業員に対する使用中止要請、インターネット掲示板であれば管理者への通報など)
ステップ3
- 顧客(被害者)への通知の必要性検討(なお、個人情報保護法26条2項に該当する場合は通知義務が課されることに注意)
- 取引先への通知の必要性検討(個人情報の委託を受けている場合は、取引先との契約内容を確認するなど)
- 個人情報保護委員会への報告の要否検討(個人情報保護法26条1項を参照)
まずは上記3点を確実に実行した上で、その後、次のようなステップに進むことになります。
ステップ4
- 個人情報漏洩につき対外公表の要否の検討(なお、公表することでかえって二次被害が生じないか、慎重に判断する必要あり)
ステップ5
- 社内対応チームの組成と再発防止策の検討と実行
顧客からの問合せ対応を行う上での留意事項
大規模な個人情報の漏洩となった場合、一斉に問合せが入り、社内は一種のパニック状態になるかもしれません。
パニックになる可能性があるが故に、顧客対応をマニュアル化し、対応する従業員に対して「何を話してよいのか、何を話すことはNGなのか」を明確にすることが重要です。
例えば、初期の段階では、個人情報が漏洩した可能性があることは事実だが、現状どこまで漏洩しているのか影響範囲が分からないということが多いのですが、この場合、まずは以下のような簡単なマニュアルを作成します。
・ご心配をおかけしたことへのお詫び
・現時点で判明している事実経過の説明
・現状で実施済みの漏洩防止策の説明
・今後の方針について、改めて連絡する旨の説明
その上で、どの従業員であっても一律の対応ができるようにし、情報が錯綜することによる顧客および社会の混乱を招かないように、防止策を講じることを検討するべきです。
まとめ
個人情報の漏洩事故は、残念ながらどれだけ対策しても起こってしまいます。このため、漏洩事故は発生するものであるという認識の元、発生した場合の初動対応を含めたシミュレーションを平常時より構築しておくことが肝要です。
なにも事前準備しないまま、いざ漏洩事故が起こってしまった場合、どうしても対応が後手となり、強い社会的非難やレピュテーションリスクといった、事業活動そのものを揺るがす事態ともなりかねないことにご留意ください。
※この記事は、2024年1月22日に作成されました。