TOPQ&A記事委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?
SHARE

委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?

当社は、委託元会社に出向いてサーバの保守等の委託業務を受けている会社ですが、先日、当社の従業員が、業務終了後帰社途中で、業務で使用していたUSBメモリーを紛失してしまいました。USBメモリーには、委託元会社のサーバに保存されていた同社の顧客の個人情報が1,000件以上は含まれています。当社としては、今後、どのように対応したらいいでしょうか?
紛失したUSBメモリーに格納されていた個人情報が、個人情報保護法の「個人データ」に該当する場合、「漏えい」事案として、委託元会社は、個人情報保護委員会へ報告し、併せて当該本人に対しても通知しなければなりません。その場合、御社としては、事実関係の調査等を早急に行い、委託元会社が上記義務を果たせるよう協力が必要となるでしょう。
回答者
小坂谷 聡 弁護士
小坂谷・中原法律事務所

はじめに

いわゆる個人情報に対する人々の権利意識は、以前に比べて高くなっています。このような情報が一旦漏えいする等の事態が生じてしまうと、企業の信頼は失墜し、多額の損害賠償金を請求される可能性も否定できず、その損害は計り知れません。そのため、情報漏えい等のインシデントに対しては、その発生を未然に防ぐための対策が重要となる訳ですが、それでも、万が一、個人情報を取扱っている事業者が、情報漏えい事件を起こしてしまった場合、個人情報保護法において、一定の義務が課されています。

個人情報保護法(以下、「法律」といいます)について

法律上、個人情報というためには、「生存する」「個人に関する情報」であって、他の情報と容易に照合して特定の個人を識別できることが必要です。そして、この「個人情報」を検索できるように体系的に構成したものを「個人情報データベース等」といい、そのデータベースを構成する個人情報を「個人データ」といいます。

事業者は、この個人データを漏えい、滅失、毀損(以下「漏えい等事案」といいます)した場合、個人情報保護委員会へ報告するとともに、漏えい等事案が生じた旨を当該個人本人に対しても、通知しなければならないことが法律上定められています。もっとも、漏えい等のインシデント事案が生じた場合、全ての事案において上記義務が課せられるという訳ではなく、個人の権利利益を害するおそれが大きい事態として、以下の5つの類型が定められています。

①要配慮個人情報(医療情報、犯罪情報等)が含まれる個人データの漏えい等
②不正利用により財産的被害が発生するおそれがある個人データ(クレジットカード番号等)の漏えい等
③不正の目的をもって行われたおそれがある個人データの漏えい等
④1,000人以上を超える個人データの漏えい等
⑤以上のケースのおそれが生じた場合

1,000件以上の個人情報が格納されたUSBメモリーが紛失した今回のケースでは、漏えい等が生じていないという確証がない限り、漏えい等が疑われると考えられます。そのため、その情報が個人データとして認められるものであれば、少なくとも④および⑤の類型に該当します。

委託先事業者の責任

もっとも、今回の場合、その情報を保有しているとされる事業者は、委託先事業者である御社ではなく委託元会社の方です。同社から委託を受けてデータの取扱っている御社には、同法による上記義務が直接課されている訳ではありません。ただし、法律上、委託元会社との間で、個人データに関して適切な安全管理措置が行われるよう委託契約の締結が義務付けられているなど、御社は委託元会社による必要かつ適切な監督に服さなければなりません。

したがって、御社従業員による漏えい等のインシデントが生じた場合、御社としては、委託元会社に対して直ちに当該事実を報告して、委託会社の監督のもと、速やかに事実関係の調査再発防止策の策定その他必要な協力を行わなければなりません。また、当該インシデントによって委託元会社が被った損害に対する賠償等に関して、委託元会社から請求される可能性もあり、その点についての協議・対策も必要となるでしょう。

まとめ

USBメモリーは扱いやすく便利なアイテムですが、とても小さく、紛失しやすい上に管理もずさんになりがちです。最近では、業務上での使用が禁止されていることも多いと思います。可能な限り使用を控えるに越したことはありませんが、もし使用する必要があっても、最低限、事前に使用上の手続きや運搬等についてのルール、および使用履歴の保存やデータの消去等の使用上の制限等を定めたセキュリティ基準等を整備しておくことが必要です。そしてそれらに加えて、教育や罰則を含めたそれが遵守されるような仕組みを構築しておくことが肝要になります。

この記事は、2023年11月17日に作成されました。

関連Q&A

取締役会の議事録を作成していない場合、何か不都合がありますか?
当社では、これまで取締役会の議事録を残していなかったのですが、この場合何か不利益が生じますか?これまでの分について、何か対応できることはありますか?
アメリカに支店を設立したいのですが、どう進めるべきでしょうか?
アメリカに支店を設立したいです。 様々な機関に問い合わせたのですが、うまく情報を集めることができません。どのような流れで進めるのが良いでしょうか?
ランサムウェアに感染した場合の対応方法を教えてください。
先日、社内サーバーがランサムウェアに感染し、保存していたデータが暗号化され、自由に使えなくなってしまいました。暗号資産を支払えば復旧してもらえるようなメッセージが表示されていますが、どのように対処するのが適切でしょうか?
持病を隠していた従業員から、残業による持病悪化で損害賠償請求されました。
従業員から、業務量が増えたため6か月間にわたり毎日残業していたところ、持病が悪化して入院してしまったので、損害賠償を請求したいと言われました。その従業員は以前から心臓の持病があったが、会社に隠していたとのことです。会社として知らなかった場合であっても、損害賠償金を支払わなければいけないのでしょうか。
コスプレグッズを制作し、販売したいのですが、法的に問題はありますか?
衣装制作会社です。流行しているアニメキャラクターのコスプレ衣装を制作、販売しようと考えているのですが、法的に問題はありますか。