1. ホーム
  2. プラットフォーム関連

プラットフォームと個人情報保護法③

Q 事業活動において個人情報が漏えいした場合に、どのような対応をすべきでしょうか。また、情報の漏えいを予防するために、事前に事業者が取りうる措置はありますか。

A 個人情報の漏えい、滅失又は毀損(以下「漏えい等」といいます。)が発生した場合には、事業者が、個人情報保護委員会作成の「個人情報の保護に関する法律についてのガイドライン」に基づいて、対応を行う必要があります。
情報漏えい等を防ぐための取り組みとしては、公的な機関の認証を受けることにより充実した個人情報保護マネジメントシステムを構築する手法である、プライバシーマーク制度があります。

情報漏えい等発生時の対応と留意点

はじめに

 情報漏えい等には、各事案によって様々な発生原因があります。また、漏えい等の対象となった情報の性質も事案ごとに異なります。
 そのため、実際に事故が起こった場合には、それぞれの事案に応じた個別具体的な対応が必要です。

 ここでは、個人情報のうち、「個人データ」(個人情報保護法2条6項)の漏えい事故が発生した場合に、事業者が講ずるべき措置について扱います。
(「個人データ」の定義については、PFと個人情報保護①をご覧ください。)

漏えい等事案が発生した場合に講ずべき措置

 平成28年11月付け個人情報保護委員会作成の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、「4漏えい等の事案が発生した場合等の対応」において、 

 「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」と定めています。

 そして上記の対応については、「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」 (以下「漏えいガイドライン」といいます。)において詳細が定められています。

 漏えいガイドラインでは、個人情報取扱事業者は、以下の6つの必要な措置を講ずることが望ましいとされています。

①事業者内部における報告及び被害の拡大防止
 責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じましょう。

②事実関係の調査及び原因の究明
 漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講じましょう。

●事実関係を5W1Hで調査と整理をするとよいでしょう
◻︎ 当事者は誰か?
◻︎ 何が、被害にあったのか?
◻︎ 漏えい等した情報は何か?
◻︎ どこで発生したか?
◻︎ どうして漏えい等の事故が発生したか?
◻︎ 漏えい等の事故が発覚した理由は何なのか?

なお、漏えいの原因は以下に掲げる事由が多いものとなっています。

※ 情報漏えいのタイプによって対応のポイントが変わってきます。

①紛失・盗難
 パソコンや USB メモリの入った鞄を電車やバスの車内や店舗に忘れる、事務所や自宅に保管されていたパソコンが盗難にあうといった事件により情報の紛失や漏えいをしてしまうケース。

②誤送信・誤公開
 本来行ってはならないシステムの操作、設定等により情報が流出するケース。お互いに関係のない複数のアドレスにあてた電子メールを、他人の宛先が見える形で送信してしまう場合(BCC で送信すべきところを TO や CC で送信)や、 Webページの公開サーバの設定を誤って個人情報などが誰でも見えるような状態にしてしまう場合。

③内部犯行
 企業(組織)内部の従業員が不正に情報を持ち出し、外部の第三者に売ったり 渡したりするケース。名簿業者等で、持ち出された名簿が販売されていることなどもあります。

④ファイル交換ソフトの利用
 Winny/Share を代表とする匿名ファイル交換ソフトの利用者が暴露ウイルスに感染し、自宅に持ち帰っていた業務データや電子メールの内容などを流出させてしまうようなケース。

⑤不正プログラム
 ウイルスに感染してパソコン内部のデータが電子メールに添付されてばらまか れたり、スパイウェアを送り込まれパソコンで入力した内容が外部に送信されたりするケース。

⑥不正アクセス
アクセス制限を設けているコンピュータにネットワーク外部から不正に侵入されて情報を盗まれるケース。

⑦SNS等
組織の従業員がSNS等で本来秘密にすべき事項を掲載してしまったり、社内の者しか知らないはずの情報が匿名掲示板に書き込まれたりする ケース。

③影響範囲の特定
 上記②で把握した事実関係による影響の範囲を特定しましょう。
●漏えい等した情報の範囲、原因、被害の状況等を明らかにします。
◻︎ 漏えい等した情報区分は?
◻︎ 漏えいした情報の保護策は実施していましたか?
◻︎ 影響はどこに及びますか?

④再発防止策の検討及び実施
 上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講じましょう。
●二次被害防止策の例
◻︎ (第三者によるデータ媒体の窃取などが原因の場合には)警察への届出
◻︎ 漏えいした情報の回収
◻︎ Webサーバ設定、ID、パスワードの見直し

なお、上記②の原因に従った応急対策と再発防止策としては、以下の対策をとることが考えられます。

⑴紛失・盗難
→【応急対策】
・警察に届け出る。
・流出したアカウント停止、パスワード変更

【再発防止策】
・情報資産の保管方法、情報資産の持出し管理を徹底する。
・(紛失・盗難に遭った場合に備えて)情報の暗号化やアクセス制御を行う。

⑵誤送信・誤公開
→【応急対策】
・誤送信の場合には受信者への連絡と情報の廃棄依頼。
・誤公開に対しては公開した情報を即時に削除。

【再発防止策】
・多数の宛先への同時送信の作業手順の見直し。
 必要に応じて、専用システムの導入。
・Web ページの設定・公開要領を見直し。

⑶内部犯行
→【応急対策】
・社内対象サイト(イントラネットサーバ、共有ファイ ルサーバなど)の ID 停止やアクセス制限の実施。
・内部犯行当事者の使用した関連装置の確保(証拠保存)。
・警察への届出。
・漏えいの可能性のある情報の回収。

【再発防止策】
・IDパスワード、アクセス権限の見直し。

⑷ファイル交換ソフトの利用 →【応急対策】
・インターネットからのパソコンの切り離し (Winny/Share の利用停止) 。
・漏えいしたファイル(情報)の確保。
・ウィルス駆除。

【再発防止策】
・個人のパソコンから会社の機密情報や個人情報の削除を徹底する。
・会社の情報持ち出し制限等のルール見直し。

⑸不正プログラム
→【応急対策】
・ウイルス感染したパソコンの特定。
・ウイルス感染したパソコンのネットワークからの切り離し。
・漏えいした情報の回収。
・ウイルス名の特定と駆除。

【再発防止策】
・個人のパソコンから会社の機密情報や個人情報の削除を徹底する。
・重要な情報の隔離やウイルス対策製品の導入。
・ユーザに対して不正プログラム対策の注意喚起。

⑹不正アクセス
→【応急対策】
・不正アクセスを受けた機器(サイト)のネットワークからの切り離し。
・不正アクセスを受けた機器(サイト)の停止。
・代替サイトの立ち上げ。
・漏えいした情報の回収。

【再発防止策】
・Web サーバ設定の見直し。
・ID パスワード、アクセス権限の見直し。
・サーバ、Web アプリケーションのぜい弱性の除去。

⑺SNS等
→【応急対策】
・SNSに書き込まれた情報の削除。
・検索サイトからのキャッシュ削除。
・被害者へのお詫びや損害の補償、内部処分等。

【再発防止策】
・コンプライアンスに関する社内研修の徹底。

⑤影響を受ける可能性のある本人への連絡等
 漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置きましょう。
◻︎ クレジットカード番号や銀行口座番号が含まれていた場合には、本人に通知し、カード停止、口座停止、ID停止などを促すことも大切です。

⑥事実関係及び再発防止策等の公表
 漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表しましょう。

個人情報保護委員会等への報告

 漏えいガイドラインにおいて、個人情報取扱事業者は、漏えい等事案が発覚した場合、所轄官庁である個人情報保護委員会その他の関連機関に速やかに報告するように努めるものとされています。
 原則として、個人情報保護委員会に報告を行います。 https://www.ppc.go.jp/personalinfo/legal/leakAction/ 上記のウェブサイトの報告フォームへの入力により、漏えい等事案の報告を行います。

なお、認定個人情報保護団体(法47条1項)の対象事業者である個人情報取扱事業者の場合は、当該認定個人情報保護団体へ報告を行います。
https://www.ppc.go.jp/personalinfo/nintei/list/
認定個人情報保護団体については、上記のウェブサイトをご確認ください。

報告を要しない場合

 漏えいガイドラインでは、漏えい等事案が発覚した場合であっても、
(a)実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合、又は(b)FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合のいずれかに該当するときには、報告を要しないとされています。

上記(a)の具体例として
●漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
●漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合

上記(b)の具体例として
●FAX若しくはメールの誤送信又は荷物の誤配等のうち、宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合 が挙げられています。

なお、(a)及び(b)の場合は、個人情報保護委員会等に対して報告を要しないとされているものの、その場合であっても、上記①〜⑥までの措置を実施することは望ましいとされている点に留意が必要です。

特定の分野の個人情報取扱事業者に求められる対応

 上記の漏えいガイドラインのほか、特定の分野の事業者向けに別途のガイドラインが定められている場合があります。
 そのようなガイドラインの存する分野の事業者は、当該ガイドラインの内容についても検討した上で対応を講じる必要があります。

●金融関連分野ガイドライン
https://www.ppc.go.jp/files/pdf/kinyubunya_GL.pdf

●医療分野ガイドライン
https://www.ppc.go.jp/files/pdf/iryoukaigo_guidance.pdf

●電信通信事業分野ガイドライン
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html

●放送分野ガイドライン
https://www.soumu.go.jp/main_sosiki/joho_tsusin/040831_1.html

●郵便事業分野ガイドライン
https://www.soumu.go.jp/yusei/kojin_hogo.html

●信書便分野ガイドライン
https://www.soumu.go.jp/yusei/kojin_joho/

●個人遺伝情報ガイドライン
https://www.meti.go.jp/policy/mono_info_service/mono/bio/Seimeirinnri/

最新の法改正について

 個人情報保護法の改正法が、令和2年6月5日の国会において可決、成立し、令和2年6月12日に公布されました。改正法の施行は一部を除き、公布後2年以内となります。
 改正法では、「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」が生じた場合に、個人情報取扱事業者による個人情報保護委員会への報告を義務化し(改正法22条の2第1項)、あわせて本人への通知についても、原則として義務としています(同条2項)。
 詳細は、追って定められる個人情報保護委員会規則やガイドラインで定まることになりますが、この点にも、留意が必要です。

個人情報の漏えい等を予防する取り組み

個人情報保護の徹底のために

 情報セキュリティ体制の構築が不十分であり、企業において個人情報の漏えい事故が発生した場合には、企業には法的責任が発生することに加え(詳しくは、PFと個人情報②の記事をご覧ください。)、社会的信用の低下を招くことも考えられます。
 そのため、このような事態を予防するためにも、プラットフォームビジネスを展開するにあたり、個人情報保護に関する法令遵守とその徹底が必須となります。
 では、実際にどのような方法により、個人情報保護を徹底することができるのでしょうか。

 以下では、公的な機関の認証を受けることにより充実した個人情報保護マネジメントシステムを構築する手法である、プライバシーマーク制度をご紹介します。

プライバシーマーク制度

 プライバシーマーク制度は、日本産業規格「JIS Q 15001;2017個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
 プライバシマーク制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)がその運用と維持管理を行なっています。
 以下では、具体的な取得の流れを、大まかに説明します。

①認証取得を希望する組織が、JIPDECのプライバシーマーク推進センターに申請を行います。

②JIPDECのプライバシーマーク推進センター又はJIPDECが指定した審査機関が、書面審査(個人情報保護の行動指針を定めた規程類の整備状況やそれらの規程類に則った体制の整備状況についての審査)及び現地調査(前記の規程類が実際に適正に運用されているかの審査)を行い、JIS Q15001:2017への適合性を審査します。

③認証基準を満たしていると判断した場合には、プライバシーマークの付与適格決定の通知が、送付されます。

④プライバシーマーク付与契約を締結し、登録証を交付されます。

⑤契約締結後には、プライバシーマーク付与機関のホームページ等で公表されます。

なお、プライバシーマークには2年の有効期間があり、その都度更新手続を行う必要があるので注意が必要です。

プライバシーマークを取得することによって得られるメリット
●JIS Q 15001:2017は、個人情報保護法で求められる事項を要求事項としているため、プライバシーマークの取得によって当該組織が個人情報保護法を遵守していることを、取引関係者及び顧客にアピールでき、信用が得られます。
●役員・従業員等の個人情報保護に対する意識を高めることができます。
●プライバシーマーク取得の過程で、実際に充実した個人情報保護マネジメントシステムを構築できます。

詳しくは、プライバシーマーク制度サイトhttps://privacymark.jp/index.htmlをご確認ください。

その他の認証制度

 個人情報の漏えい等の事故は、情報管理の技術的な問題点に起因することもあります。

「情報技術ーセキュリティ技術ー情報セキュリティ管理策の実践のための規範(JIS Q 27002:2014」は、情報セキュリティ対策を行う際の実践規範を示したものです。
 このJIS Q 27002:2014への適合性評価制度を利用することで、情報セキュリティの技術面における水準の向上を目指すことができます。

詳しくは、日本産業標準調査会(JISC)のウェブサイトをご覧ください。
https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?toGnrJISStandardDetailList

直法律事務所では、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。