TOPQ&A記事BCCで送るべきメールをCCで送ってしまった際の対応方法を教えてください。
SHARE

BCCで送るべきメールをCCで送ってしまった際の対応方法を教えてください。

当社の採用活動にあたり、応募者全員に対し、就活イベントの開催をメールで告知したのですが、BCCで送るべきところを誤ってCCで送ってしまいました。
どう対応したら良いでしょうか?今後どうなるのでしょうか?

個人データの「漏えい」(個人情報保護法26条)に該当する可能性があります。まずは速やかな事実関係の調査を行ってください。その上で、一定の場合には個人情報保護委員会への報告や、本人への通知等を行う必要があります。
回答者
矢内 良典 弁護士
緋地法律事務所

個人データの「漏えい」に当たるか

BCCで送るべきメールをCCで送ってしまったということなので、メールの件名や本文はすべての受信者に共通であるものの、メールの受信者同士で互いのメールアドレスや応募した事実等が認識可能な状態となってしまったケースということになります。

こういったメールの誤送信は、「漏えい」の典型的なケースであるといえます。

(なお、メールアドレスや応募した事実等が「個人データ」に該当するかという論点はありますが、本記事では該当するという前提で解説を行います。)

データ漏えいが発生した場合の初動

個人データ(または個人データと思われるもの)の漏えいが発覚した場合や漏えいが疑われる場合には、速やかに事実関係の調査を行うことが重要です。

具体的には、①漏えいの当事者または発見者から責任者へ即時の報告を行うこと②漏えいしたデータの内容、対象者の人数、漏えいの経緯・原因などの事実関係を速やかに調査することです。

この初動を迅速かつ正確に行うことで、被害の拡大防止、報告・通知義務の有無の判断及び義務の履行、事態の収拾をスムーズに行うことにつながります。

個人情報保護委員会への報告及び本人への通知

個人データの漏えいのうち一定の事態が生じた場合は、原則として、個人情報保護委員会(以下「委員会」)への報告および本人への通知を行わなければなりません。

一定の事態の具体的内容は個人情報保護法施行規則(以下「規則」)7条に列挙されています。

質問のケースとの関係では、同条3号(不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為(以下「不正行為」)による個人データの漏えい等)および4号(個人データに係る本人の数が千人を超える漏えい等)が重要であると思われます。

3号の典型例は、不正アクセスにより当該メールが送信されてしまった場合です。

これらの事態に該当する場合には、規則8条1項に規定された事項を委員会へ報告しなければなりません。

なお、委員会への報告には、事態を知った後速やかに行う「速報」と30日(不正行為による漏えいの場合は60日)以内に行う「確報」があります。

本人への通知については、「当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、8条1項1号(概要)、2号(項目)、4号(原因)、5号(二次被害の有無・内容)及び9号(その他参考事項)に定める事項を通知しなければならない。」(規則10条)とされており、柔軟な対応が求められます。

これらの義務を怠ると、最悪の場合、刑事罰(1年以下の懲役又は100万円以下の罰金)が科せられる可能性があります。

損害の賠償

個人情報の漏えいにより本人に損害が生じた場合には、損害賠償責任が生じます。

主な損害としては慰謝料が考えられますが、漏えいした情報の内容等に応じて一人あたり数千円から数万円が現在の相場であるといえます。なお、通知・報告義務を負わない場合であっても、損害賠償責任は発生します。

モラルに基づく対応

法的な報告・通知義務が発生するのは、規則7条列挙の事態が生じた場合に限られています。しかし、それらに該当しないからといって何もしないで良いというわけではありません。

良識ある企業としては、本人に対し漏えいについて謝罪を行い、法的義務がなくても漏えいの原因や影響範囲等について説明し、相談窓口を案内しておくなどの対処が求められます。

法改正について

令和6年4月1日施行予定の改正法の下では、不正行為による漏えい(規則7条3号)については、「個人データ」だけでなく「個人データとして取り扱われることが予定されている個人情報」の漏えいも報告・通知義務の対象となります。

整理されていない情報の漏えいは事実関係の調査も困難となることが予測されますので、注意が必要です。

この記事は、2024年1月24日に作成されました。

関連Q&A

性的少数者にも配慮した採用活動をしたいのですが、どうすればよいですか?
昨今の社会全体の人権意識の高まりに合わせて、当社も性的少数者に配慮した採用活動をしていきたいです。どのような点に気を付ければよいですか?
女性社員に活躍してもらうために、どのような制度を整えるべきでしょうか?
弊社は、男性社員の割合が多い100人弱の企業です。ここ数年、優秀な女性の採用難が課題となっているのですが、今後女性を積極採用し活躍してもらうためには、どのような制度を整えていくべきでしょうか?また、女性活躍の基準は法律で決まっているのでしょうか?
M&A契約の特徴や特殊性はどのようなものがありますか?
将来的に、事業拡大のためのM&Aをしたいと考えているのですが、中小企業のM&Aに関する知見があまりありません。そもそも、M&A契約の特徴や特殊性はどのような点があるのでしょうか?
著作権侵害の可能性を簡単にチェックする方法はありませんか?
新商品のキャッチコピーと説明文を作成したのですが、リリース間近になって似たようなコピーと説明文のついた他社商品を発見しました。著作権を侵害してしまわないか不安なのですが、自分でチェックする方法はありませんか?
ポイントを発行する際に気を付けるべきことを教えてください。
当社の製品を購入した顧客に対して、ポイントを発行したいです。 その際、何か気を付けるべきことはありますか?