TOPQ&A記事委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?
SHARE

委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?

当社は、委託元会社に出向いてサーバの保守等の委託業務を受けている会社ですが、先日、当社の従業員が、業務終了後帰社途中で、業務で使用していたUSBメモリーを紛失してしまいました。USBメモリーには、委託元会社のサーバに保存されていた同社の顧客の個人情報が1,000件以上は含まれています。当社としては、今後、どのように対応したらいいでしょうか?
紛失したUSBメモリーに格納されていた個人情報が、個人情報保護法の「個人データ」に該当する場合、「漏えい」事案として、委託元会社は、個人情報保護委員会へ報告し、併せて当該本人に対しても通知しなければなりません。その場合、御社としては、事実関係の調査等を早急に行い、委託元会社が上記義務を果たせるよう協力が必要となるでしょう。
回答者
小坂谷 聡 弁護士
小坂谷・中原法律事務所

はじめに

いわゆる個人情報に対する人々の権利意識は、以前に比べて高くなっています。このような情報が一旦漏えいする等の事態が生じてしまうと、企業の信頼は失墜し、多額の損害賠償金を請求される可能性も否定できず、その損害は計り知れません。そのため、情報漏えい等のインシデントに対しては、その発生を未然に防ぐための対策が重要となる訳ですが、それでも、万が一、個人情報を取扱っている事業者が、情報漏えい事件を起こしてしまった場合、個人情報保護法において、一定の義務が課されています。

個人情報保護法(以下、「法律」といいます)について

法律上、個人情報というためには、「生存する」「個人に関する情報」であって、他の情報と容易に照合して特定の個人を識別できることが必要です。そして、この「個人情報」を検索できるように体系的に構成したものを「個人情報データベース等」といい、そのデータベースを構成する個人情報を「個人データ」といいます。

事業者は、この個人データを漏えい、滅失、毀損(以下「漏えい等事案」といいます)した場合、個人情報保護委員会へ報告するとともに、漏えい等事案が生じた旨を当該個人本人に対しても、通知しなければならないことが法律上定められています。もっとも、漏えい等のインシデント事案が生じた場合、全ての事案において上記義務が課せられるという訳ではなく、個人の権利利益を害するおそれが大きい事態として、以下の5つの類型が定められています。

①要配慮個人情報(医療情報、犯罪情報等)が含まれる個人データの漏えい等
②不正利用により財産的被害が発生するおそれがある個人データ(クレジットカード番号等)の漏えい等
③不正の目的をもって行われたおそれがある個人データの漏えい等
④1,000人以上を超える個人データの漏えい等
⑤以上のケースのおそれが生じた場合

1,000件以上の個人情報が格納されたUSBメモリーが紛失した今回のケースでは、漏えい等が生じていないという確証がない限り、漏えい等が疑われると考えられます。そのため、その情報が個人データとして認められるものであれば、少なくとも④および⑤の類型に該当します。

委託先事業者の責任

もっとも、今回の場合、その情報を保有しているとされる事業者は、委託先事業者である御社ではなく委託元会社の方です。同社から委託を受けてデータの取扱っている御社には、同法による上記義務が直接課されている訳ではありません。ただし、法律上、委託元会社との間で、個人データに関して適切な安全管理措置が行われるよう委託契約の締結が義務付けられているなど、御社は委託元会社による必要かつ適切な監督に服さなければなりません。

したがって、御社従業員による漏えい等のインシデントが生じた場合、御社としては、委託元会社に対して直ちに当該事実を報告して、委託会社の監督のもと、速やかに事実関係の調査再発防止策の策定その他必要な協力を行わなければなりません。また、当該インシデントによって委託元会社が被った損害に対する賠償等に関して、委託元会社から請求される可能性もあり、その点についての協議・対策も必要となるでしょう。

まとめ

USBメモリーは扱いやすく便利なアイテムですが、とても小さく、紛失しやすい上に管理もずさんになりがちです。最近では、業務上での使用が禁止されていることも多いと思います。可能な限り使用を控えるに越したことはありませんが、もし使用する必要があっても、最低限、事前に使用上の手続きや運搬等についてのルール、および使用履歴の保存やデータの消去等の使用上の制限等を定めたセキュリティ基準等を整備しておくことが必要です。そしてそれらに加えて、教育や罰則を含めたそれが遵守されるような仕組みを構築しておくことが肝要になります。

この記事は、2023年11月17日に作成されました。

関連Q&A

SNSの運用代行を業者に委託する際の注意点を教えてください。
当社のSNS運用を、SNS運用代行業者に委託しようと考えています。委託にあたり契約書を締結しようと思いますが、どのような点に注意して契約内容を定めるべきでしょうか。
アプリを模倣された際の対応方法を教えてください。
弊社が提供しているアプリとそっくりのアプリを見つけました。サービスの停止と損害賠償を求めたいのですが、どのように対応すればよいでしょうか?対応する際に気を付けるべきことも併せて教えてください。
エンジェル投資家から出資を受ける際に注意すべき点を教えてください。
エンジェル投資家から、投資したいとの申し出がありました。投資を受ける際に最低限注意すべき点を教えてください。
フランチャイズ加盟店から営業時間短縮を求められた際の対応を知りたいです。
フランチャイズ加盟者からの店舗の営業時間の短縮を求められた場合、フランチャイズ本部としてはどのように対応すればよいですか?
グリーンウォッシュと批判されないために何に気を付けるべきでしょうか?
当社はtoCのメーカーで、消費者のサステナビリティ意識の高まりを踏まえ、今後当社でも「環境にやさしい」製品の製造販売などの取り組みを進めたいと考えています。ただ、取り組み方によっては「グリーンウォッシュ」と批判されることがあると聞くのですが、どういった点に注意して進めるべきでしょうか?