個人情報の漏洩とは
個人情報の漏洩とは、企業が有する個人情報が意図に反して外部に漏れてしまう事態を指します。
個人情報を企業に提供する個人は、その企業が自己の情報を適切に管理するものと信じて個人情報を提供しています。
個人情報の漏洩は、個人情報の対象である本人の信頼に背く事態であるといえるでしょう。
個人情報が漏洩する主な原因
個人情報が漏洩する原因はさまざまですが、主な原因は次のとおりです。
- 不正アクセス
- 従業員による故意な持ち出し
- 従業員によるミス
不正アクセス
1つ目は、不正アクセスによるものです。
不正アクセスとは、本来アクセス権限を持たない者が、サーバーや情報システムの内部へ侵入を行う行為のことです。
2023年には、病院が不正アクセスの被害に遭い患者や職員などの個人情報最大約5万4,000件が外部閲覧可能な状態となった事例がありました。
また、大学の教職員用メールサーバーが外部からの不正アクセスを受け、個人情報1,875件とメール本文が学外流出したとみられる事例も発生しています。
なお、総務省が公表している資料によると、令和3年(2021年)における不正アクセス行為の認知件数は1,516件でした。
これは令和2年(2020年)に発生した2,806件から大きく減少しているものの、不正アクセスは複雑かつ巧妙化しており、自社が被害に遭わないと保証することはできません。
従業員による故意な持ち出し
2つ目は、従業員による故意な持ち出しです。
企業への逆恨みによるもののほか、悪意のある者から対価を得るために手を染めることも考えられます。
2023年では、NTTドコモのグループ会社に勤務していた当時の派遣社員が個人情報を持ち出し、596万件もの個人情報が流出した事件も発生しています。
従業員によるミス
3つ目は、従業員によるミスです。
たとえば、個人情報が記録された機器の置き忘れのほか、ウェブサイト更新時に個人情報を誤ってアップロードしたり誤送信したりすることなどが挙げられます。
2022年には、尼崎市から個人情報の取り扱いを伴う業務の委託を受けていた企業が業務を無断で再々委託したうえ、再々委託先の従業員が全尼崎市民の個人データを含むUSBメモリを紛失した事件が記憶に新しいことでしょう。
個人情報が漏洩した場合の主なリスク
個人情報が漏洩した場合に発生し得る主なリスクは次のとおりです。
- 企業の信頼が失墜する
- 刑事罰の対象となる
- 損害賠償請求される
企業の信頼が失墜する
個人情報が漏洩した場合、企業の信頼が大きく失墜する可能性があります。
特に病歴や人種、信条など特に配慮が必要な個人情報(「要配慮個人情報」といいます)やクレジットカードなど二次被害につながるおそれのある情報を漏洩した場合は、信頼回復がより困難となる可能性があるでしょう。
刑事罰の対象となる
個人情報が漏洩したこと自体に関して、直ちに罰則が適用されるわけではありません。
ただし、個人情報が不適正に取り扱われていた場合などは、個人情報保護委員会から是正の勧告や命令がなされる可能性があります(個人情報保護法148条1項から3項)。
また、この命令に従わない場合、その旨が公表される可能性があるほか、行為者が1年以下の懲役または100万円以下の罰金、法人が1億円以下の罰金刑に処される可能性があります(同法4項、178条、184条1項1号)。
損害賠償請求される
個人情報漏洩が発生した場合、損害賠償責任を負う可能性があります。
損害賠償の金額は漏洩した情報の内容や実損害発生の有無によって異なるものの、1件あたり数千円から1万円程度と認定されることが多いでしょう。
たとえば、平成26年(2014年)に発生したベネッセのグループ会社の業務委託先従業員が個人情報を不正に持ち出し名簿業者に売却した事件では、1人あたり3,300円(総額1,300万円)の損害賠償が命じられています。
また、先ほど紹介した尼崎市から委託を受けた事業者によるUSB紛失事件では、無断で再々委託をした委託先事業者が市に対し、2,950万1,005円の損害賠償を支払いました。
個人情報漏洩が発生した場合の企業の対応手順
万が一個人情報の漏洩が発生した場合、企業はどのような手順で対応にあたればよいでしょうか?
対応手順の一例は次のとおりです。
- 個人情報の漏洩を止める措置を講じる
- 弁護士に相談する
- 対策本部を設置する
- 状況に応じて情報が漏洩した旨の公表を行う
- 漏洩した個人情報の範囲や原因を調査する
- 個人情報保護委員会へ報告する
- 本人への報告と謝罪をする
- 必要に応じて警察に被害届や遺失届を提出する
- 補償を検討する
- 再発防止策を講じる
個人情報の漏洩を止める措置を講じる
個人情報の漏洩を確認したら、直ちに漏洩を止める措置を講じます。
たとえば、個人情報が誤ってホームページ上で公開されている場合は、その情報を削除したり、ウィルス感染が疑われるパソコンのインターネット接続を遮断したりします。
また、個人情報の入ったパソコンなどを物理的に紛失した場合は、直ちに捜索をするほか警察や施設管理者(鉄道駅であれば忘れ物センターなど)に連絡します。
弁護士に相談する
初期対応後と同時に、直ちに弁護士へ相談します。
相談先は顧問弁護士が一般的ですが、顧問弁護士がいない場合は企業法務や個人情報保護に関する知見を持っている弁護士へ相談しましょう。
以後は具体的な事案を踏まえ、弁護士のサポートを受けつつ対応を進めます。
対策本部を設置する
次に、社内に対策本部を設置します。
個人情報漏洩に関する社内の窓口を一本化し混乱を最小限に抑えることが可能となるほか、少数精鋭でスピーディーな対応がしやすくなるためです。
状況に応じて情報が漏洩した旨の公表を行う
漏洩した個人情報の件数が多い場合や被害拡大のリスクがある場合は、個人情報が漏洩した旨を速やかに公表します。
一方、漏洩した個人情報の件数が少なく被害拡大の可能性が低い場合は、原因の調査までを終えてから謝罪とともに公表をする場合も少なくありません。
個人情報が漏洩した旨を公表すると、その後問い合わせの電話やメールが多く寄せられる可能性があります。
そのため、想定される問い合わせへの回答例をある程度準備したうえで公表するとよいでしょう。
漏洩した個人情報の範囲や原因を調査する
同時に、漏洩した個人情報の範囲や漏洩した原因を調査します。
推測ではなく、可能な限り具体的な事実関係を調査することが重要です。
個人情報保護委員会へ報告する
2022年4月1日から施行された個人情報保護法の改正法により、「その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない」とされました(同法26条1項)。
つまり、一定の漏洩が生じた際は、原則として個人情報保護委員会へ報告しなければなりません。
そして、この報告が必要となる「個人情報保護委員会規則で定めるもの」にあたるのは、次のいずれかに該当する事態です(個人情報保施行規則7条)。
- 要配慮個人情報が含まれる個人データ(高度な暗号化などの措置を講じたものを除く)の漏洩・滅失・毀損(以下「漏洩等」といいます)が発生し、または発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等が発生し、または発生したおそれがある事態
- 不正の目的をもって行われたおそれがある個人データの漏洩等が発生し、または発生したおそれがある事態
- 個人データに係る本人の数が1,000人を超える漏洩等が発生し、または発生したおそれがある事態
この報告は漏洩等の発覚日から3日から5日以内に速やかに行い、その後発覚日から30日以内(不正な目的で行われた場合には60日以内)に確報(続報)をすべきとされています(同規則8条)。
本人への報告と謝罪をする
個人情報保護委員会への報告が必要な漏洩等が生じた際は、本人に対して漏洩等の事実を通知しなければなりません(個人情報保護法26条2項)。
ただし、本人への通知が困難であり、本人の権利利益を保護するための代替措置をとる場合はこの限りではないとされています。
法令上謝罪が求められているわけではないものの、倫理上や企業の信頼失墜への影響を最小限に抑える観点から、通知を行う際は謝罪も行うべきでしょう。
本人への通知は、次の方法などで行うことが一般的です。
また、代替措置には次のものなどが該当します。
必要に応じて警察に被害届や遺失届を提出する
併せて、必要に応じて警察への被害届や遺失届などを提出します。
遺失届とは、紛失物が見つかった際などに遺失者へ連絡が入るための届出です。
また、被害届は犯罪被害に遭った事実を申告する届出のことです。
補償を検討する
必要に応じて、漏洩した個人情報の対象者である本人への補償を検討します。
損害賠償請求に発展する前に企業が独自に補償を検討することで、今後の訴訟リスクを低減させたうえで、被害者保護にも繋がります。
再発防止策を講じる
一連の対応に区切りがついたら、再発防止策を講じます。
個人情報漏洩が発生した根本的な原因を深堀し、これを踏まえて再発防止策を検討するとよいでしょう。
個人情報の漏洩を防ぐために企業が講じるべき対策
個人情報の漏洩が発生すると、企業は対応に奔走する必要が生じます。
その結果、本業に支障をきたす事態にもなりかねません。
そのため、日頃から個人情報漏洩を防ぐための対策を講じることが大切です。
企業が講じるべき主な対策は次のとおりです。
- 個人情報取り扱いに関する社内ガイドラインを徹底する
- 従業員との間で守秘義務契約を締結する
- 定期的にセキュリティ研修を実施する
- 個人情報にアクセスできる従業員を限定する
- セキュリティソフトを最新に保つ
個人情報取り扱いに関する社内ガイドラインを徹底する
企業はあらかじめ個人情報の取り扱いに関するガイドラインを定め、このガイドラインを徹底するよう社内に周知徹底しましょう。
社内ガイドラインの策定時には、個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン」が参考になります。
従業員との間で守秘義務契約を締結する
特に重要な個人情報を取り扱う職種である場合は、従業員との間で守秘義務契約を締結することを検討してください。
守秘義務契約を別途締結することで、情報漏洩の抑止力となります。
定期的にセキュリティ研修を実施する
社内で定期的にセキュリティ研修を実施することも、個人情報の漏洩を防ぐために有効な対策の1つです。
従業員に気のゆるみが生じると、たとえば個人情報の入ったパソコンを持ったまま飲み会へ出掛けて紛失が発生したり、信頼性の低いWi-Fiに接続して個人情報が漏洩したりする事態が発生しやすくなります。
定期的にセキュリティ研修を実施し、個人情報漏洩によるリスクや従業員個人に対する懲戒規定などについて解説することで、抑止力となる効果が期待できます。
また、不正アクセスの手口が年々巧妙化していることから、機密情報を狙った迷惑メールの最新手口などを紹介することで、被害の抑止につながる可能性があるでしょう。
個人情報にアクセスできる従業員を限定する
ガイドラインや社内研修を徹底しても、悪意を持って個人情報を持ち出す事態を完全に防ぐことは困難です。
そのため、個人情報にアクセスできる従業員を最小限に抑えることで、個人情報漏洩を防ぐ対策の1つとなるでしょう。
派遣社員やアルバイト従業員を含むすべての従業員が何ら制限なく個人情報にアクセスできる状態である場合、アクセスする人の母数が多い分だけ悪意を持った人が紛れ込む可能性が高くなると考えられます。
一方、個人情報にアクセスできる人を限定することで、不正の意図を持った人が混じるリスクを最小限に抑えることができるほか、限定された人の中で漏洩が起きた際は「犯人」が発覚しやすいため、これが抑止力となる効果も期待されます。
セキュリティソフトを最新に保つ
不正アクセスによる個人情報漏洩を避けるには、セキュリティソフトを最新に保つことが重要です。
基本的な対策ではあるものの、中には徹底ができていない企業もあるため、改めて確認しておくとよいでしょう。
まとめ
個人情報の漏洩等が発生した際における企業の対応手順などについて解説しました。
個人情報が漏洩した場合は、初期対応が非常に重要です。
二次被害を防ぐための対策を講じたうえで、漏洩した個人情報の内容や数、漏洩の原因などに応じて適切に対応を進めましょう。
状況に応じて、個人情報保護委員会への報告が必要となる点にも注意が必要です。
被害の拡大を防ぎ適切な初期対応を迅速に行うには、個人情報保護法の対応に詳しい弁護士のサポートを受けるようにしてください。