TOPQ&A記事委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?
SHARE

委託会社の情報の入ったUSBメモリーを紛失してしまったのですが、どうしたらいいでしょうか?

当社は、委託元会社に出向いてサーバの保守等の委託業務を受けている会社ですが、先日、当社の従業員が、業務終了後帰社途中で、業務で使用していたUSBメモリーを紛失してしまいました。USBメモリーには、委託元会社のサーバに保存されていた同社の顧客の個人情報が1,000件以上は含まれています。当社としては、今後、どのように対応したらいいでしょうか?
紛失したUSBメモリーに格納されていた個人情報が、個人情報保護法の「個人データ」に該当する場合、「漏えい」事案として、委託元会社は、個人情報保護委員会へ報告し、併せて当該本人に対しても通知しなければなりません。その場合、御社としては、事実関係の調査等を早急に行い、委託元会社が上記義務を果たせるよう協力が必要となるでしょう。
回答者
小坂谷 聡 弁護士
小坂谷・中原法律事務所

はじめに

いわゆる個人情報に対する人々の権利意識は、以前に比べて高くなっています。このような情報が一旦漏えいする等の事態が生じてしまうと、企業の信頼は失墜し、多額の損害賠償金を請求される可能性も否定できず、その損害は計り知れません。そのため、情報漏えい等のインシデントに対しては、その発生を未然に防ぐための対策が重要となる訳ですが、それでも、万が一、個人情報を取扱っている事業者が、情報漏えい事件を起こしてしまった場合、個人情報保護法において、一定の義務が課されています。

個人情報保護法(以下、「法律」といいます)について

法律上、個人情報というためには、「生存する」「個人に関する情報」であって、他の情報と容易に照合して特定の個人を識別できることが必要です。そして、この「個人情報」を検索できるように体系的に構成したものを「個人情報データベース等」といい、そのデータベースを構成する個人情報を「個人データ」といいます。

事業者は、この個人データを漏えい、滅失、毀損(以下「漏えい等事案」といいます)した場合、個人情報保護委員会へ報告するとともに、漏えい等事案が生じた旨を当該個人本人に対しても、通知しなければならないことが法律上定められています。もっとも、漏えい等のインシデント事案が生じた場合、全ての事案において上記義務が課せられるという訳ではなく、個人の権利利益を害するおそれが大きい事態として、以下の5つの類型が定められています。

①要配慮個人情報(医療情報、犯罪情報等)が含まれる個人データの漏えい等
②不正利用により財産的被害が発生するおそれがある個人データ(クレジットカード番号等)の漏えい等
③不正の目的をもって行われたおそれがある個人データの漏えい等
④1,000人以上を超える個人データの漏えい等
⑤以上のケースのおそれが生じた場合

1,000件以上の個人情報が格納されたUSBメモリーが紛失した今回のケースでは、漏えい等が生じていないという確証がない限り、漏えい等が疑われると考えられます。そのため、その情報が個人データとして認められるものであれば、少なくとも④および⑤の類型に該当します。

委託先事業者の責任

もっとも、今回の場合、その情報を保有しているとされる事業者は、委託先事業者である御社ではなく委託元会社の方です。同社から委託を受けてデータの取扱っている御社には、同法による上記義務が直接課されている訳ではありません。ただし、法律上、委託元会社との間で、個人データに関して適切な安全管理措置が行われるよう委託契約の締結が義務付けられているなど、御社は委託元会社による必要かつ適切な監督に服さなければなりません。

したがって、御社従業員による漏えい等のインシデントが生じた場合、御社としては、委託元会社に対して直ちに当該事実を報告して、委託会社の監督のもと、速やかに事実関係の調査再発防止策の策定その他必要な協力を行わなければなりません。また、当該インシデントによって委託元会社が被った損害に対する賠償等に関して、委託元会社から請求される可能性もあり、その点についての協議・対策も必要となるでしょう。

まとめ

USBメモリーは扱いやすく便利なアイテムですが、とても小さく、紛失しやすい上に管理もずさんになりがちです。最近では、業務上での使用が禁止されていることも多いと思います。可能な限り使用を控えるに越したことはありませんが、もし使用する必要があっても、最低限、事前に使用上の手続きや運搬等についてのルール、および使用履歴の保存やデータの消去等の使用上の制限等を定めたセキュリティ基準等を整備しておくことが必要です。そしてそれらに加えて、教育や罰則を含めたそれが遵守されるような仕組みを構築しておくことが肝要になります。

この記事は、2023年11月17日に作成されました。

関連Q&A

親族に後継者がいないが、事業承継をしたいです。
高齢になってきたため事業承継をしたいのですが、親族で後継者がおらず、事業をどのように続けるか困っています。従業員がいるため、事業は存続させたいのですが、良い手立てはありますでしょうか。
導入事例を広報・営業に利用する際の注意点を教えてください。
今後弊社のサービスの導入事例を、自社HP上や営業の際の資料として利用していきたいです。 どのような点に気を付ければよいですか?
友人の債務を当社で保証したら、他の取締役から責任追及されました。
友人から保証人になってくれと頼まれたので、他の取締役には内緒で当社が保証人になりました。しかし友人は支払いをできず、結局当社が支払いました。するとほかの取締役から「会社が支払った額をお前が払い込め。」と言われました。私は払わなければならないのでしょうか?
ビルのオーナーから賃料増額を求められた際の対応方法を教えて下さい。
賃借しているビルのオーナーから、賃料の増額を求められました。応じなければ契約を更新しないと言われているのですが、どうすれば良いでしょうか?
非公開会社の事業承継で気を付けるべきことを教えてください。
当社は非公開会社です。 私には妻と2人の子(長男・長女)がいるのですが、長男に事業を相続させることにしました。長男に自社株式を100%相続させる遺言を書いたのですが、その他にやっておくべきことや気を付けるべきことはありますか?