委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?
はじめに
いわゆる個人情報に対する人々の権利意識は、以前に比べて高くなっています。このような情報が一旦漏えいする等の事態が生じてしまうと、企業の信頼は失墜し、多額の損害賠償金を請求される可能性も否定できず、その損害は計り知れません。そのため、情報漏えい等のインシデントに対しては、その発生を未然に防ぐための対策が重要となる訳ですが、それでも、万が一、個人情報を取扱っている事業者が、情報漏えい事件を起こしてしまった場合、個人情報保護法において、一定の義務が課されています。
個人情報保護法(以下、「法律」といいます)について
法律上、個人情報というためには、「生存する」「個人に関する情報」であって、他の情報と容易に照合して特定の個人を識別できることが必要です。そして、この「個人情報」を検索できるように体系的に構成したものを「個人情報データベース等」といい、そのデータベースを構成する個人情報を「個人データ」といいます。
事業者は、この個人データを漏えい、滅失、毀損(以下「漏えい等事案」といいます)した場合、個人情報保護委員会へ報告するとともに、漏えい等事案が生じた旨を当該個人本人に対しても、通知しなければならないことが法律上定められています。もっとも、漏えい等のインシデント事案が生じた場合、全ての事案において上記義務が課せられるという訳ではなく、個人の権利利益を害するおそれが大きい事態として、以下の5つの類型が定められています。
②不正利用により財産的被害が発生するおそれがある個人データ(クレジットカード番号等)の漏えい等
③不正の目的をもって行われたおそれがある個人データの漏えい等
④1,000人以上を超える個人データの漏えい等
⑤以上のケースのおそれが生じた場合
1,000件以上の個人情報が格納されたUSBメモリーが紛失した今回のケースでは、漏えい等が生じていないという確証がない限り、漏えい等が疑われると考えられます。そのため、その情報が個人データとして認められるものであれば、少なくとも④および⑤の類型に該当します。
委託先事業者の責任
もっとも、今回の場合、その情報を保有しているとされる事業者は、委託先事業者である御社ではなく委託元会社の方です。同社から委託を受けてデータの取扱っている御社には、同法による上記義務が直接課されている訳ではありません。ただし、法律上、委託元会社との間で、個人データに関して適切な安全管理措置が行われるよう委託契約の締結が義務付けられているなど、御社は委託元会社による必要かつ適切な監督に服さなければなりません。
したがって、御社従業員による漏えい等のインシデントが生じた場合、御社としては、委託元会社に対して直ちに当該事実を報告して、委託会社の監督のもと、速やかに事実関係の調査、再発防止策の策定、その他必要な協力を行わなければなりません。また、当該インシデントによって委託元会社が被った損害に対する賠償等に関して、委託元会社から請求される可能性もあり、その点についての協議・対策も必要となるでしょう。
まとめ
USBメモリーは扱いやすく便利なアイテムですが、とても小さく、紛失しやすい上に管理もずさんになりがちです。最近では、業務上での使用が禁止されていることも多いと思います。可能な限り使用を控えるに越したことはありませんが、もし使用する必要があっても、最低限、事前に使用上の手続きや運搬等についてのルール、および使用履歴の保存やデータの消去等の使用上の制限等を定めたセキュリティ基準等を整備しておくことが必要です。そしてそれらに加えて、教育や罰則を含めたそれが遵守されるような仕組みを構築しておくことが肝要になります。
※この記事は、2023年11月17日に作成されました。