澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「【企業向け】個人情報漏洩の対策と対応マニュアル(令和2年改正個人情報保護法にも対応 )」
について、詳しく解説します。
当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから
はじめに
ITの飛躍的な進歩により、企業等の組織は、大量のデータを保有するようになりました。便利である一方で、重要なデータがデジタル化され、一度に大量のデータを紛失する、または、持ち出されるリスクが高まりました。
個人情報等の秘密情報が漏えいし、仮にインターネット上に流出した場合には、不特定多数が即座に見ることや、保存することができてしまいます。
一度流出した情報をすべて回収・削除するのは、極めて困難といえます。その場合、企業は、民事上の損害賠償責任は当然、個人情報保護法上の制裁、企業のイメージ低下(レピテーションリスク)を負うおそれもあります。これは、今まで起きた多くの情報漏えい事件が示すところです。
個人情報保護法第23条は、
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」
としています。
多くの企業がこれに則って措置を講じていますが、個人情報漏えい事故は後を絶たず、全ての企業において「対策・対応を考えておく」等して注意する必要があります。
漏えい報告
個人情報漏洩を起こしてしてしまった!というときには、企業としてどのような手続・対応をすればいいかについてお話します。
個人情報保護委員会は、個人情報が漏えい、滅失、又は毀損(以下、併せて「漏えい等」という)する事故が発生した場合、企業は対象となる情報が漏えいした個人に対する法的責任を負うとともに、国に対する関係で情報漏えい報告をすることが義務づけられました。
報告の目的は、
- 二次被害の防止
- 類似事案の発生防止等
です。
また、本人に対して速やかに通知しなければなりません。
Ex)
・個人情報を含むメールを第三者に誤送信した
・個人情報が記載又は記録された書類・媒体等が盗難された
・不正アクセスにより第三者に個人データを含む情報が窃取された
※なお、個人情報を第三者に閲覧されないうちに全てを回収できた場合は、漏えいに該当しません。
◆「滅失」・・・個人情報の内容が失われること
Ex)
・個人情報情報が記載又は記録された書類・媒体等を社内で紛失した(社外に流出した場合は漏えいに該当)
・個人情報データベース等からら出力された氏名等が記載された帳票を誤って廃棄した(適切に廃棄されていない場合は漏えいに該当)
※なお、上記の場合であっても、その内容と同じものが他に保管されている場合は、滅失に該当しません。
◇「毀損」・・・個人情報の内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること
Ex)
・個人情報の内容が改ざんされた
・ランサムウェアにより個人情報が暗号化されてその内容が復元できなくなった(同時に個人情報が窃取された場合は漏えいにも該当する)
・暗号化処理された個人情報の復元キーを喪失したことにより復元できなくなった
今回、「漏えい」「滅失」「毀損」は何度も出てきますので、覚えておきましょう。
漏えいが発覚した場合
個人情報取扱事業者は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という)が発覚した場合は、漏えい等事案の内容等に応じて次の5つの事項について必要な措置を行わなければならなりません。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 個人情報保護委員会への報告及び本人への通知
5の報告については、法第26条に規定されています。令和2年に改正したので、念のため内容を確認しましょう。
※「個人データ」は、法第16条にある、個人情報データベース等を構成する個人情報をいいます。
①要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
Ex)従業員の健康診断等の結果を含む個人データが漏えいした
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
Ex)ネットショッピングサイトからクレジットカード番号を含む個人データが漏えいした
③不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)
Ex)不正アクセスにより個人データが漏えいした場合 個人データが記載又は記録された書類・媒体等が盗難された場合
※「不正の目的をもって」漏えい等を発生させた主体は、第三者、従業員問いません。
④個人データに係る本人の数が1000人を超える漏えい等(又はそのおそれ)
Ex)システムの設定ミスによりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1000人を超える
※「個人データに係る本人の数」は、当該個人情報取扱事業者が取り扱う個人データのうち、漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数をいいます。発覚当初は1000人未満であっても、事態の把握により1000人を超えればこれに該当します。
なお、もし漏えい等が発生(おそれがある)した場合であっても、その個人データについて高度な暗号化等の秘匿化が施されているような場合等「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合、報告は不要です。
また、報告の対象となる事態に該当しない漏えい等事案であっても、企業の判断で個人情報保護委員会に報告することはできますが、あくまで任意となります。
漏えいの報告先は、原則として個人情報保護委員会です。
ただし、法147条1項により個人情報保護委員会が報告を受理する権限を事業所管大臣に委任している場合、当該事業所管大臣に報告することになっています。
詳細はこちらをご覧ください。
では、どのように報告すればいいでしょうか?
この点、個人情報保護委員会への報告について、個人情報保護委員会のホームページに報告フォームが設置されていますので、当該報告フォームから報告することができますが、概要を確認しておきましょう。
まず、「速報」を行います。
その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きい事態の発生を知った後、「速やかに」報告する必要があります(個人情報保護法施行規則8条1項)。
「速やかに」というのは、個人情報取扱事業者が当該自体を知った時点から概ね3~5日以内とされます。報告内容は後述のとおりですが、その時点で把握している内容でたります(個人情報保護法ガイドライン(通則編)61頁)。
次に、「確報」を行います。
個人情報取扱事業者が事態を知った日から30日以内(例外として60日以内の場合もあります)に、すべての報告事項について報告する必要があります。(合理的努力を尽くした上で報告できない事項がある場合には、その時点で把握している内容を報告し、判明次第、追完します。)
なお、速報の時点ですべて報告できている場合には速報と確報を兼ねることができます。
速報や確報の報告事項は、以下のとおりです。(個人情報保護法施行規則8条1項各号)。
なお、報告書の様式(個人情報保護法施行規則の「別記様式第一(第六条の三第三項関係)」)では、それぞれの報告事項について細目を定めています。
個人情報保護法施行規則8条1項
- 概要(1号)
- 漏えい等が発生し、または発生したおそれがある個人データの項目(2号)
- 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数(3号)
- 原因(4号)
- 二次被害またはそのおそれの有無およびその内容(5号)
- 本人への対応の実施状況(6号)
- 公表の実施状況(7号)
- 再発防止のための措置(8号)
- その他参考となる事項(9号)
5号の特定個人情報の漏えい等による二次被害として、次のような事項があります。
Ex)
・漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信すること
・行政機関を名乗り、個人番号が漏えいしているなどとして金銭の振り込みに誘導するような詐欺を行うこと
9号の「その他参考となる事項」には、次のような事項があります。
Ex)
・他の行政機関等への報告状況(捜査機関への申告状況も含む。)
・当該個人番号利用事務等実施者が上場会社である場合、適時開示の実施状況・実施予定
既に報告を行っている漏えい等事案がある中で、同時期に別の漏えい等事案が発生した場合には、両者が別の事案である旨
もっとも、業法等で監督当局への報告が義務付けられている場合もありますので、会社の業種とその法律について調べておきましょう。
個人情報保護法の施行
個人情報保護法(個人情報の保護に関する法律等の一部を改正する法律)は、2020(令和2)年に改正、2022(令和4)年4月1日に施行されました。
この改正は、
- 個人情報の保護と利用のバランスの調整
- 国際的潮流との制度調和
- 外国事業者によるリスク変化への対応
- AI・ビッグデータ時代への対応
という目的のために改正されました。
個人情報保護法の目的である「個人の権利利益を保護する」ために十分な措置を講じることに配慮しながら、今後も改正されていくと考えられます。
今回の改正では、個人情報保護委員会の措置命令・報告義務違反の罰則に対して法定刑が強化され重罰化されました。
改正前は、個人情報保護委員会の措置命令違反の罰則は「6ヶ月以下の懲役または30万円以下の罰金」でした。
しかし、改正により「1年以下の懲役又は100万円以下の罰金」に強化されることとなっています。
具体的に説明していきます。
個人情報取扱事業者が、個人情報保護法の義務規定に違反し、不適切な個人情報の取扱いを行っている場合には、個人情報保護委員会は、必要に応じて、当該個人情報取扱事業者等その他の関係者に対して報告徴収・立入検査を実施し(法第143条)、当該個人情報取扱事業者等に対して指導・助言を行い(法第144条)、また、勧告・命令を行う(法第145条)ことができると定められています。
第143条 委員会は、第四章(第五節を除く。次条及び第百四十八条において同じ。)の規定の施行に必要な限度において、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者(以下この款において「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、仮名加工情報、匿名加工情報又は個人関連情報(以下この款及び第三款において「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
2 前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。
3 第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。
(指導及び助言)
第144条 委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
(勧告及び命令)
第145条 委員会は、個人情報取扱事業者が第十八条から第二十条まで、第二十一条(第一項、第三項及び第四項の規定を第四十一条第四項の規定により読み替えて適用する場合を含む。)、第二十三条から第二十六条まで、第二十七条(第四項を除き、第五項及び第六項の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第二十八条、第二十九条(第一項ただし書の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第三十条(第二項を除き、第一項ただし書の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第三十二条、第三十三条(第一項(第五項において準用する場合を含む。)を除く。)、第三十四条第二項若しくは第三項、第三十五条(第一項、第三項及び第五項を除く。)、第三十八条第二項、第四十一条(第四項及び第五項を除く。)若しくは第四十三条(第六項を除く。)の規定に違反した場合、個人関連情報取扱事業者が第三十一条第一項、同条第二項において読み替えて準用する第二十八条第三項若しくは第三十一条第三項において読み替えて準用する第三十条第三項若しくは第四項の規定に違反した場合、仮名加工情報取扱事業者が第四十二条第一項、同条第二項において読み替えて準用する第二十七条第五項若しくは第六項若しくは第四十二条第三項において読み替えて準用する第二十三条から第二十五条まで若しくは第四十一条第七項若しくは第八項の規定に違反した場合又は匿名加工情報取扱事業者が第四十四条若しくは第四十五条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十八条から第二十条まで、第二十三条から第二十六条まで、第二十七条第一項、第二十八条第一項若しくは第三項、第四十一条第一項から第三項まで若しくは第六項から第八項まで若しくは第四十三条第一項、第二項若しくは第五項の規定に違反した場合、個人関連情報取扱事業者が第三十一条第一項若しくは同条第二項において読み替えて準用する第二十八条第三項の規定に違反した場合、仮名加工情報取扱事業者が第四十二条第一項若しくは同条第三項において読み替えて準用する第二十三条から第二十五条まで若しくは第四十一条第七項若しくは第八項の規定に違反した場合又は匿名加工情報取扱事業者が第四十五条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
4 委員会は、前二項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。
もし、個人情報保護委員会からの報告徴収・立入検査に応じなかった、報告徴収に対して虚偽の報告をした、という場合には、刑事罰(50万円以下の罰金)が科される可能性もあります(法第177条)。
一 第百四十三条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二 第百五十条の規定による報告をせず、又は虚偽の報告をしたとき。
また、個人情報保護委員会の命令に個人情報取扱事業者等が違反した場合には、個人情報保護委員会は、その旨を公表することができ(法第145条第4項)、加えて、当該命令に違反した者には、刑事罰(1年以下の懲役又は100万円以下の罰金)が科される可能性があります(法第173条)。
なお、個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰(1年以下の懲役又は50万円以下の罰金)が科される可能性があります(法第174条)。
さらに、法人の代表者又は法人若しくは人の代理人、使用人その他の従業者(以下本項において「従業者等」という。)がその法人又は人の業務に関して、上記の罰則の対象となる行為を行った場合には、両罰規定により、行為者に加え、その法人や人にも罰金刑が科される可能性があります(法第179条)。
一 第百七十三条及び第百七十四条 一億円以下の罰金刑
二 第百七十七条 同条の罰金刑
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
具体的には、従業者等が法人の業務に関して、
- 法第173条(勧告)又は第174条に掲げる違反行為を行った場合1億円以下
- 法第177条(虚偽の報告等)に掲げる違反行為を行った場合は50万円以下 の罰金です。
また、従業者等が人の業務に関して、第173条、第174条及び第177条に掲げる違反行為を行った場合には、当該人に対して、当該違反行為を定める各条文に規定する罰金刑が科される可能性があります。
〈個人情報保護法施行の流れ〉
罰金や懲役になるまでには以下の流れがあります。
まずは指導や勧告といったものから始まりますので、もし違法な点があれば、その時点で改善を行いましょう。
IT技術の進展が著しく、日々新たな事業が生まれてくるなか、企業は個人情報を適切に扱うことが求められており、罰則が強化されました。
企業は、個人情報保護法改正によって、これまで以上に慎重な個人情報の取り扱いが求められるでしょう。正しい取り扱いができるよう、企業側の対応の見直しが重要です。
制裁金制度
EU
2018年にEUで施行されたGDPR((General Data Protection Regulation)EU一般データ保護規則)は、個人情報のあり方が多様化している現代の基準となる、新たな個人情報保護のルールです。既存の法令より広義での個人情報を保護対象とし、制裁金の金額が大きいことで知られています。
GDPRに違反する最大のリスクは巨額な制裁金です。
EUでは、行政罰として、GDPR違反に反して、最大2,000万ユーロ以内又は前年度の全世界総売上高の4%のうち高い方を上限とする制裁金が科されます。
つまり、少なくとも1,000万ユーロ(約12億円)、義務違反のケースによっては2,000万ユーロ(約23億円)が制裁金の最低額として設けられており、事業規模によってはさらに多くの支払いを要求されます。制裁金を科すか、制裁金額の額を含め、大きな裁量が認められており、GDPR侵害で数億ユーロ規模の制裁金が科されるケースも散見されます。以下のガイドラインは、制裁金処分の可否及び制裁金の金額を評価する際に使用する基準の一覧です。
大手IT企業であるGoogleも巨額の制裁金を科せられました。個人情報の利用目的がユーザーへ明確に提示されていないこと、およびユーザーの同意を一括取得していたことがGDPRに抵触するとして、フランスのデータ保護機関であるCNILから制裁金5,000万ユーロ(約62億円)と決定が下されました。
GDPRはEUで施行された法令であるものの、>EUに関わる事業活動を行っている事業者は日本企業であってもGDPRの適用対象となります。
施行されて以来はじめての日系企業に対する処分が、2022年11月に話題となりました。
大手システムインテグレーション企業である、NTTデータ社のスペイン子会社(以下、NTTデータスペイン)に対し、取引先の顧客情報漏えいに対して過失があったとして、現地のデータ保護当局より約6万4,000ユーロ(約940万円)の制裁金が科されました。
(b) 違反行為の故意又は過失
(c) データ主体が被った損失を軽減するために管理者又は処理者によって講じられた 措置
(d) 第25条及び第32条により管理者又は処理者によって実施された技術上及び組 織上の措置を考慮に入れた上で、管理者又は処理者の責任の程度
(e) その管理者又は処理者による過去の関連する違反
(f) 違反を解消するための、及び、違反の潜在的な悪影響を低減させるための、監督機 関との協力の程度
(h) その違反が監督機関の知るところとなった態様、とりわけ、その管理者又は処理者 がその違反を通知したのかどうか、及び、通知した場合、どの範囲で通知したのか
(i) 関連する管理者又は処理者に対し、同じ事項に関して、第58条第2項に規定する措置が過去に命じられていた場合、それらの措置の遵守
(j) 第40条による承認された行動規範の遵守、又は、第42条による承認された認証 方法の遵守
(k) その違反行為から直接又は間接に得た財産的な利益若しくは回避された損失のよ うな、その案件の事情に適用可能な上記以外の悪化要素又は軽減要素
アメリカ
米国では、FTC法5条(不公正・欺瞞的行為又は慣行の禁止)により消費者保護に関する職務・権限を担う連邦取引委員会(FTC:Federal Trade Commission)が、独立の機関として、消費者のプライバシー保護を図っています。FTCは、違反行為があった場合、制裁金を科すことができます。
2019年7月、FTCは、Facebookに50億ドル(約5400億円)規模の制裁金を科しました。この制裁金は、同社ユーザーの個人情報流出問題と数年前に起きたデータ漏えいに関して同社が膨大な数のユーザーに通知を怠ったことについてのもので、FTCがハイテク企業に科した制裁金としては当時、最高額でした。
日本
国際的に制裁金が導入されていることから、日本でも罰則と別に課徴金を導入する必要があるかについて検討されました。
しかし、日本においては、個人情報保護委員会による指導等により違法状態が是正されおり、課徴金の金額によって過度な委縮が生じる恐れがある等の指摘がありました。
このような検討の結果、令和2年改正法では、課徴金制度は導入せず、罰則が強化されました。
また、同改正により、日本国内にある者に係る個人情報等を取り扱う外国事業者が、法に違反した場合には、個人情報保護委員会が指導、助言、勧告または命令等を行うことができるとされました(法166,167条)。
もっとも日本は罰金を課すことに慎重であり、罰金が課されるのは大規模漏えいが発生したようなケースに限られる可能性もあると考えられます。
情報の持ち出し、漏えいに伴う企業リスク
持ち出し
情報漏えいの原因は、従業員や元従業員による情報の持ち出しによるものが多くを占めていました。
企業は、従業員(元従業員)による情報の持ち出しがおきないよう防止策を講じ、持ち出しが起きてしまった場合には、速やかに適切な対処ができるよう準備しておく必要があります。企業秘密の漏えいは、会社の情報管理体制がずさんであることを示すものであり、株主、投資家などの外部的な信用を損ないます。
また個人情報保護法上の安全管理措置義務(法34条)違反の責任を負うことにもなりかねません。
JNSA(日本ネットワークセキュリティ協会)が2018年に行った調査によると、情報漏えいによって発生した損害賠償額は以下のとおりです。
- 一件当たりの平均想定損害賠償額 6億3,767万円
- 一人当たりの平均想定損害賠償額 2万9,768円
情報漏えいが発生すると、通常の業務を止めて対応しなければならないため、営業機会の損失にもつながります。
個人情報がライバル企業の手に渡れば、顧客を失い、得ることができたはずの利益や市場を失ってしまう事もあります。
持ち出しの予防策
従業員や元従業員、また、社内で業務を行う委託先等による情報の持ち出しを防止するために、どのような方策が必要でしょうか。就業規則等の内規で、適切な情報の取扱いについて定めるとともに、具体的な方策を講じることが大切です。
具体的には次のような方策があります。
- 従業員等から守秘義務等に関する契約書、誓約書の取得(従業員の入退社時、業務委託先等の契約時等)
- 入退室管理(IDカード等を利用し、入退室の認証及び記録をする)
- ファイルの持ち出し管理(会社貸与PCの持ち出し管理・禁止、私物PC・スマートフォンの持ち込みやLANへの接続の禁止、私用のウェブメールやクラウドストレージ等へのアクセス禁止、USBメモリー等の外部記録媒体へのコピーの禁止等)
- ファイルへの適切なアクセス権限の設定(アクセスコントロール)
- モニタリング(システムログの保存・分析、従業員のメールの監視等)
- 社内教育(コンプライアンス研修、ITスキル研修等)
このように、秘密情報へのアクセスを技術的・物理的に制限する方法や、研修や誓約書の取得のような組織的・人的に防止する方法もあり、複合的に措置を講じていくことを検討しましょう。
社内教育においては、
- 企業の情報お持ち出しにより、会社だけでなく同僚・他の従業員にも大変な迷惑がかかること
- 刑事罰(個人情報保護法や不正競争防止法上の懲役・罰金刑)や民事上の損害賠償責任を負うなど、持ち出す従業員本人にとって大きなダメージがあること、等を周知していくとともに
- 行動をモニタリングしていること、
を伝えることで持ち出し防止つながります。社員の情報漏洩に対する意識を高めることが重要です。
対応策
データ持ち出しが判明した場合の対応策は、以下のように進めます。
①発見・報告
まずは、情報が漏えいしたと疑われる問合せ、苦情があった場合は、情報漏えい事件対応チームの構築するために、責任者(会社の経営陣・コンプライアンス担当者等)に、そのような事実を報告します。
②初動対応
次に、会社の経営陣やコンプライアンス担当者等により構成される情報漏えいに対応するチームが状況確認をします。その際には正確な情報の収集と保全が重要です。そして、漏洩した情報やその範囲等を考慮し、どのような対応をするべきかを決定します。また、被害拡大を防止する緊急措置の必要性を検討し、必要があれば緊急措置を行います。
さらに、必要に応じて、法的責任の問題への対応のため法務担当者、会社内部や外部の利害関係のある者への報告のために広報担当者、弁護士等の社外の専門家とも連携していくことも検討が必要です。
なお、このような情報漏えいに対応するチームは迅速に適切な判断をしていく必要があり、あらかじめこのような判断ができる人材により体制を整えておくことが重要です。
③通知・報告・公表
次は、情報漏えいの被害を受けた顧客などの利害関係を有する者に対し、情報漏えい事故の発生及び組織の対応状況について、情報を開示します。
情報漏えいの被害を受けた顧客や取引先等以外にも、
●個人情報保護委員会
●監督官庁
●報道機関
●当事者以外の取引先
等への情報開示も必要性の有無を検討します。もし被害が拡大するおそれがあれば、迅速な公表により拡大を防止することも大切です。一般消費者向けの事業を行う企業等は、説明責任が社会的義務であるという意識をもち、迅速な公表を検討しましょう。
また、事実を開示するに際して、正確な事実を開示できるよう、精査した情報を記録・一元化して管理します。正確な事実の確認に時間を要する場合には、暫定的な情報であっても迅速に公表のうえ、後日改めて精査した情報を開示するという形をとったほうが、誠実な対応と捉えられることが多いでしょう。
個人情報保護委員会への報告が必要な場合には速報を速やかに行い、事実関係を精査した上で確報を行うことになっています。
④抑制措置・復旧
情報漏えいによって発生した被害の拡大を防止し、その被害を回復します。この対応の良し悪しで今後の会社の未来が左右される場合もあるでしょう。
システム上の情報セキュリティの脆弱性があれば改善が必要です。この脆弱性により被害が拡大するおそれが高いような場合は改善の緊急性が高く、その場合は②の初動対応として脆弱性を改善し、③でその対応状況の報告をします。
例えば、ネットショッピングサービス提供事業者業から、顧客IDとパスワードが漏えいした場合、なりすまし発注等の二次被害の恐れがあるため、直ちに顧客の承諾を取り付けアカウントの停止を行うというような場合です。
⑤事後対応
情報漏えいによって生じた被害の拡大を阻止し、また、被害回復をする等、関係者に対する法的責任や説明責任を果たし、事業を回復させていきます。また、再発防止策を策定し、実行しながら見直しをはかり、よりよい対応策を講じていくことが大切です。
もし漏えいした従業員等が判明していれば、損害賠償請求や刑事告訴の検討も行います。
事件の実態によって、②もしくは③の対応で必要な対応に、情報(証拠)の保全があります。情報漏えいに迅速・適切に対応するには、事実関係を調査と原因究明と共に、できる限り早く証拠を保全することが大切です。これは、⑤で損害賠償請求や刑事告訴等を行う際にも必要になります。
特に、従業員や元従業員による情報の持ち出しがあった場合には、いつどこで当該従業員がデータベースにアクセスしたのか、どのような操作によってどのの情報を入手し、漏えいに至ったかを調査することになります。
この調査結果が、後の法的手続の証拠として重要となることもあります。そのため、一連の証拠保全の過程に問題がないことを示すことができるよう、調査の経過も記録しておくことがおすすめです。また、専門家等の第三者に調査を委託することや、立合いを求めるのも有効です。
情報漏えいの発生元が自社サーバーの場合は、ログ等の調査により何らかの手掛かりとなる情報がないか、調査します。漏えい発生時点で導入されているツールの種類や設定により、どの程度の情報が得られるかは異なります。この点、あらかじめ情報漏えいを想定し、事前にツールの種類や設定を検討しておくと安心です。
また、業務用であっても従業員の電子メールや特定の従業員が使用する領域を調査する際に従業員の同意が必要か問題となります。この点、判例は調査の必要性があり、合理的な方法で行われる限りは、従業員の同意を不要としていますが、調査担当者が私的な興味で、調査対象の従業員のプライバシー情報を取得し保有するような行為は、プライバシー侵害に当たると考えられていますので注意が必要です。
情報を漏えいした疑いのある従業員のPCを調査することは、事実関係の確認に非常に有用です。従業員により削除されたファイルやメールの復元が必要な場合には、専門的な技術を持つ業者に依頼した方が良い場合もあります。
問題となるPCが私物であった場合、以下の問題が生じますので、より慎重な対応が求められます
- 私物PCの提出を求めることの可否
- 私物PCの提出を拒む場合、会社が私物PCの提出を強制することの可否
- 私物PCの調査について、あらかじめ従業員の同意を得る必要性の有無
- 無制限にデータをコピーすることの可否(従業員のプライバシー情報が含まれている場合など)
一歩間違えると、また別の問題(プライバシー侵害等)が生じますので、弁護士等の専門家に相談するのがよいでしょう。
テレワークの拡大に伴う新たなセキュリティ
民間企業におけるテレワークは、新型コロナ感染症の拡大に伴い、急速に導入が進んでいます。
東京都は、2022年8月の都内企業のテレワーク実施状況について、調査を行った結果、都内企業(従業員30人以上)のテレワーク実施率は58.6%。7月の前回調査(52.3%)に比べて6.3ポイント増加したということでした。
今後もこの数値は増加していくとみられています。
一方で、令和元年度の国土交通省が実施した「新型コロナウイルス感染症対策におけるテレワーク実施実態調査」では、テレワークを実施して生じた具体的な問題として、「会社でないと閲覧・参照できない資料やデータ等があった」(26.8%)がありました。
これは、テレワークを推進する中で、企業内の資料やデータ(情報)の取扱いの柔軟性が高まれば、情報漏えいのリスクも高まる可能性があります。
テレワークのセキュリティ対策については、総務省が発表している「テレワークセキュリティガイドライン」に、経営者、システム・セキュリティ管理者、テレワーク勤務者にそれぞれ実施すべき対策を記載していますので、是非ご覧ください。
退職者による情報漏えいの対応策
従業員をカバーするだけでは足りません。平成28年度IPA(独立行政法人情報処理推進機構)調査「企業における営業秘密管理に関する実態調査」によれば、情報漏えいのルートとしては、現職従業員等のミスによる漏えいに続き、中途退職者(正規社員)による漏えいが多数という結果が出ています。
退職予定者との退職後の守秘義務についての契約締結や、誓約書の取得はしておくことが大事です。
また、退職希望者のPCなどのデータチェックをし、漏えい防止策・予防策を行うといいでしょう。具体的には、退職希望者が使用していたPC等のデータのコピーを作成して調査・分析する等の方法が考えられます。
- メールの履歴
- ネットワークへの接続履歴、
- USBメモリー等の外部記録媒体の接続履歴等
も調査対象とすることで、情報漏えいを防ぐための極めて有効な方策となり、また、予防にもつながると考えられます。
情報漏えい等への対応は、弁護士に相談を
現代社会において、情報漏えい等の不祥事は企業にとって深刻なダメージを与えかねません。こうした事態を回避するには、平時から、情報漏えい事故等に備えた体制を整備した上で、有事の際には、機動的に対応することが必要です。
情報漏えい事案は、証拠収集の難しさや、度重なる法令の改正、難解な適用法令の解釈や運用など、企業にとって、自力での解決が難しい分野の一つです。
【関連記事】
プライバシーと個人情報保護法【損害賠償の事例も紹介】
「個人情報」って何を指すの?【正しく理解することが重要!】
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。
