弁護士法人Martial Artsの『EC相談室！』～個人情報流出！その時、どうする？～その① 弁護士 吉新 拓世　

第１　はじめに

１　個人情報保護の重要性

昨今，個人情報漏洩はニュースでも頻繁に報じられ，社会問題となっているところです。

ＮＰＯ日本ネットワークセキュリティ協会
『2013年 情報セキュリティインシデントに関する調査報告～個人情報漏洩編～』によれば，
２０１３年の１年間では，情報漏洩の発生は１３３３件にのぼり，
延べ９３１万２５４３人分の個人情報が漏洩しました。

１件あたりの漏洩人数は７３８５人分と，前年に比べ１．７倍以上に増加しています。
多数の情報漏洩が現に発生し，大きく報じられているということは，逆に言えば，
それだけ，個人情報保護の重要性が社会的にも広く認識されているということでもあります。

法制度としては，「個人情報の保護に関する法律」（以下，「個人情報保護法」といいます。）が
平成１７年４月から全面的に施行されており，
平成２８年には大改正も行われ，その重要性はますます高まっています。

２　貴社は「個人情報取扱事業者」です

貴社において管理・利用されているお客様の氏名・連絡先等は，
個人情報保護法にいう「個人情報」にあたります。

そして，個人情報を自らの事業のために用いている企業は，
「個人情報取扱事業者」と呼ばれ，この法律が適用されます。

なお，現行法では，過去６ヶ月間継続して，
個人情報を管理しているデータベースから識別できる個人データ
（顧客データに限らず，従業員の情報なども含みます）の数が
５０００人分以下である企業は個人情報保護法の対象外ですが，
平成２９年５月３０日から全面施行される改正法ではこの例外が廃止され，
個人情報を取り扱うすべての事業者が同法で規制されることになります。

３　情報漏洩に対する「対応」とは

さて，万が一情報漏洩が発生したとき，企業としてどう対応すべきでしょうか。

お客様への対応や損害賠償，復旧作業などが真っ先に思い浮かびますが，
二次被害の防止や公表など，漏洩経路や規模に応じた対応が必要となります。

それでは，具体的な対処のポイントを以下でみていきましょう。

第２　初動対応が非常に重要です

今，顧客情報が漏洩していることが発覚したとします。

このとき，事故対応を行う組織の責任者が，
情報漏洩の事実を確認し，発覚した経緯を辿るなどして被害の規模や原因をある程度特定し，
その後の対応を決定することが必要です。ここまでが「初動対応」です。

①いつ，②どの情報が，③何件，④どこから，⑤どのように，⑥なぜ漏洩したのか，

早急に出来る限りの特定をしてください。

その上で，今後の対応に向け，社内のリソース配分を行います。
統率の取れた対応を行うためには，社内に対策本部を設置することが考えられます。

具体的な対応については，例えば復旧作業は情報管理を行う部署に，
事実の公表等は広報を行う部署に，など，貴社における既存の部署に担当させてもよいでしょう。

それでは効果的な対応ができないと見込まれる場合は，
臨時のチームを作る，社外に第三者委員会を設けることも考えられます。

その後の対応を誤り，無用な被害拡大を招かないためにも，
責任者が統括して初動対応を行うことが重要です。

原因特定の参考として，以下に，個人情報漏洩の原因別・媒体別割合のグラフを引用します

（２０１３年時点。公務や他のサービス業における事故のデータも含みます）。

（引用元：ＮＰＯ日本ネットワークセキュリティ協会

『2013年 情報セキュリティインシデントに関する調査報告～個人情報漏洩編～』）

誤操作や管理ミスなど，内部の人為的ミスが原因の約８割を占めることが特徴的です。

初動対応が完了したら，そこで決定された方針に基づいて社内外の対応を行っていくことになります。

このとき，まず注意したいことは，事実の公表を行うタイミングです。

必ず，情報が漏洩してしまった被害者に対する個別の通知・謝罪を行ってから，
マスコミ等への公表を行ってください。

個別の通知を行わないまま情報漏洩が報じられてしまうと，
お客様に不安や混乱を生じさせることになりかねない上，
適切な個別対応を行っていないということで「炎上」してしまうおそれもあります。

その②に続きます！