TOPQ&A記事BCCで送るべきメールをCCで送ってしまった際の対応方法を教えてください。
SHARE

BCCで送るべきメールをCCで送ってしまった際の対応方法を教えてください。

当社の採用活動にあたり、応募者全員に対し、就活イベントの開催をメールで告知したのですが、BCCで送るべきところを誤ってCCで送ってしまいました。
どう対応したら良いでしょうか?今後どうなるのでしょうか?

個人データの「漏えい」(個人情報保護法26条)に該当する可能性があります。まずは速やかな事実関係の調査を行ってください。その上で、一定の場合には個人情報保護委員会への報告や、本人への通知等を行う必要があります。
回答者
矢内 良典 弁護士
緋地法律事務所

個人データの「漏えい」に当たるか

BCCで送るべきメールをCCで送ってしまったということなので、メールの件名や本文はすべての受信者に共通であるものの、メールの受信者同士で互いのメールアドレスや応募した事実等が認識可能な状態となってしまったケースということになります。

こういったメールの誤送信は、「漏えい」の典型的なケースであるといえます。

(なお、メールアドレスや応募した事実等が「個人データ」に該当するかという論点はありますが、本記事では該当するという前提で解説を行います。)

データ漏えいが発生した場合の初動

個人データ(または個人データと思われるもの)の漏えいが発覚した場合や漏えいが疑われる場合には、速やかに事実関係の調査を行うことが重要です。

具体的には、①漏えいの当事者または発見者から責任者へ即時の報告を行うこと②漏えいしたデータの内容、対象者の人数、漏えいの経緯・原因などの事実関係を速やかに調査することです。

この初動を迅速かつ正確に行うことで、被害の拡大防止、報告・通知義務の有無の判断及び義務の履行、事態の収拾をスムーズに行うことにつながります。

個人情報保護委員会への報告及び本人への通知

個人データの漏えいのうち一定の事態が生じた場合は、原則として、個人情報保護委員会(以下「委員会」)への報告および本人への通知を行わなければなりません。

一定の事態の具体的内容は個人情報保護法施行規則(以下「規則」)7条に列挙されています。

質問のケースとの関係では、同条3号(不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為(以下「不正行為」)による個人データの漏えい等)および4号(個人データに係る本人の数が千人を超える漏えい等)が重要であると思われます。

3号の典型例は、不正アクセスにより当該メールが送信されてしまった場合です。

これらの事態に該当する場合には、規則8条1項に規定された事項を委員会へ報告しなければなりません。

なお、委員会への報告には、事態を知った後速やかに行う「速報」と30日(不正行為による漏えいの場合は60日)以内に行う「確報」があります。

本人への通知については、「当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、8条1項1号(概要)、2号(項目)、4号(原因)、5号(二次被害の有無・内容)及び9号(その他参考事項)に定める事項を通知しなければならない。」(規則10条)とされており、柔軟な対応が求められます。

これらの義務を怠ると、最悪の場合、刑事罰(1年以下の懲役又は100万円以下の罰金)が科せられる可能性があります。

損害の賠償

個人情報の漏えいにより本人に損害が生じた場合には、損害賠償責任が生じます。

主な損害としては慰謝料が考えられますが、漏えいした情報の内容等に応じて一人あたり数千円から数万円が現在の相場であるといえます。なお、通知・報告義務を負わない場合であっても、損害賠償責任は発生します。

モラルに基づく対応

法的な報告・通知義務が発生するのは、規則7条列挙の事態が生じた場合に限られています。しかし、それらに該当しないからといって何もしないで良いというわけではありません。

良識ある企業としては、本人に対し漏えいについて謝罪を行い、法的義務がなくても漏えいの原因や影響範囲等について説明し、相談窓口を案内しておくなどの対処が求められます。

法改正について

令和6年4月1日施行予定の改正法の下では、不正行為による漏えい(規則7条3号)については、「個人データ」だけでなく「個人データとして取り扱われることが予定されている個人情報」の漏えいも報告・通知義務の対象となります。

整理されていない情報の漏えいは事実関係の調査も困難となることが予測されますので、注意が必要です。

この記事は、2024年1月24日に作成されました。

関連Q&A

パワハラに「穏便に」対応するよう相談されました。どうすればよいですか?
当社の従業員から、上司からパワハラを受けている旨の相談がありました。 ただ、その際「報復が怖いのでできるだけ穏便に対応してほしい」との要望を受けました。どのように対応すればよいでしょうか?
委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?
当社は、委託元会社に出向いてサーバの保守等の委託業務を受けている会社ですが、先日、当社の従業員が、業務終了後帰社途中で、業務で使用していたUSBメモリーを紛失してしまいました。USBメモリーには、委託元会社のサーバに保存されていた同社の顧客の個人情報が1,000件以上は含まれています。当社としては、今後、どのように対応したらいいでしょうか?
親族に後継者がいないが、事業承継をしたいです。
高齢になってきたため事業承継をしたいのですが、親族で後継者がおらず、事業をどのように続けるか困っています。従業員がいるため、事業は存続させたいのですが、良い手立てはありますでしょうか。
友人の債務を当社で保証したら、他の取締役から責任追及されました。
友人から保証人になってくれと頼まれたので、他の取締役には内緒で当社が保証人になりました。しかし友人は支払いをできず、結局当社が支払いました。するとほかの取締役から「会社が支払った額をお前が払い込め。」と言われました。私は払わなければならないのでしょうか?
海外企業から共同研究の話が来ました。契約の際の留意点を教えてください。
アメリカの会社から共同研究を持ち掛けられました。契約書のドラフトが送られてきたのですが、どのような点に気を付けて交渉をし、契約を締結したら良いですか?