BCCで送るべきメールをCCで送ってしまった際の対応方法を教えてください。
どう対応したら良いでしょうか?今後どうなるのでしょうか?
個人データの「漏えい」に当たるか
BCCで送るべきメールをCCで送ってしまったということなので、メールの件名や本文はすべての受信者に共通であるものの、メールの受信者同士で互いのメールアドレスや応募した事実等が認識可能な状態となってしまったケースということになります。
こういったメールの誤送信は、「漏えい」の典型的なケースであるといえます。
(なお、メールアドレスや応募した事実等が「個人データ」に該当するかという論点はありますが、本記事では該当するという前提で解説を行います。)
データ漏えいが発生した場合の初動
個人データ(または個人データと思われるもの)の漏えいが発覚した場合や漏えいが疑われる場合には、速やかに事実関係の調査を行うことが重要です。
具体的には、①漏えいの当事者または発見者から責任者へ即時の報告を行うこと、②漏えいしたデータの内容、対象者の人数、漏えいの経緯・原因などの事実関係を速やかに調査することです。
この初動を迅速かつ正確に行うことで、被害の拡大防止、報告・通知義務の有無の判断及び義務の履行、事態の収拾をスムーズに行うことにつながります。
個人情報保護委員会への報告及び本人への通知
個人データの漏えいのうち一定の事態が生じた場合は、原則として、個人情報保護委員会(以下「委員会」)への報告および本人への通知を行わなければなりません。
一定の事態の具体的内容は個人情報保護法施行規則(以下「規則」)7条に列挙されています。
質問のケースとの関係では、同条3号(不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為(以下「不正行為」)による個人データの漏えい等)および4号(個人データに係る本人の数が千人を超える漏えい等)が重要であると思われます。
3号の典型例は、不正アクセスにより当該メールが送信されてしまった場合です。
これらの事態に該当する場合には、規則8条1項に規定された事項を委員会へ報告しなければなりません。
なお、委員会への報告には、事態を知った後速やかに行う「速報」と30日(不正行為による漏えいの場合は60日)以内に行う「確報」があります。
本人への通知については、「当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、8条1項1号(概要)、2号(項目)、4号(原因)、5号(二次被害の有無・内容)及び9号(その他参考事項)に定める事項を通知しなければならない。」(規則10条)とされており、柔軟な対応が求められます。
これらの義務を怠ると、最悪の場合、刑事罰(1年以下の懲役又は100万円以下の罰金)が科せられる可能性があります。
損害の賠償
個人情報の漏えいにより本人に損害が生じた場合には、損害賠償責任が生じます。
主な損害としては慰謝料が考えられますが、漏えいした情報の内容等に応じて一人あたり数千円から数万円が現在の相場であるといえます。なお、通知・報告義務を負わない場合であっても、損害賠償責任は発生します。
モラルに基づく対応
法的な報告・通知義務が発生するのは、規則7条列挙の事態が生じた場合に限られています。しかし、それらに該当しないからといって何もしないで良いというわけではありません。
良識ある企業としては、本人に対し漏えいについて謝罪を行い、法的義務がなくても漏えいの原因や影響範囲等について説明し、相談窓口を案内しておくなどの対処が求められます。
法改正について
令和6年4月1日施行予定の改正法の下では、不正行為による漏えい(規則7条3号)については、「個人データ」だけでなく「個人データとして取り扱われることが予定されている個人情報」の漏えいも報告・通知義務の対象となります。
整理されていない情報の漏えいは事実関係の調査も困難となることが予測されますので、注意が必要です。
※この記事は、2024年1月24日に作成されました。