目次
企業における個人情報漏洩の際の対処法【個人情報保護法】
企業にとって財産であり、外部に絶対に漏らしてはいけない個人情報。
2017年5月30日に改正された個人情報保護法では、個人情報の取り扱いおける厳格なルールが企業に対して規定されました。
もし個人情報の漏洩が発覚した場合、企業としてどのように対処すればよいのでしょうか?
今回は、個人情報が漏洩してしまったときの対処法について5つの流れで解説していきます。
1)状況の把握
何よりもまず、漏洩してしまった個人情報の状況を把握しなければいけません。
漏洩してしまった情報が、誰の・いかなる情報なのかを急いで特定する必要があります。
もし「誰の」情報なのか特定できるのであれば、その人に直接連絡し謝罪することが可能となり、外部に公表せずともそこで事態がおさまることがあります。
また、漏洩してしまったのが「いかなる情報か」も急いで把握しなければなりません。もし、漏洩した情報の中にクレジットカードの情報などが含まれている場合には、ユーザーに金銭的な被害が出る可能性があるため、迅速な対策が必要となるためです。
以上のことから、漏洩した情報が「誰の、いかなる情報か」を特定することはとても重要となります。
2)個人情報保護委員会へ報告
個人情報が漏洩した際には個人情報保護委員会へ報告するように、と個人情報保護法では規定されています。
ですが、これは努力義務のため報告しなかったからといって法律違反になるわけではありません。
しかし、個人情報保護委員会は行政指導や立入検査、その結果の公表など、企業に対して強い権限を持っています。
もし報告せずに、後から情報漏洩が世間に知られることになった場合、個人情報保護委員会の調査が入り、行政処分となってしまう可能性があります。
そのため企業としては、個人情報保護委員会へ報告しておいた方がいいと言えるでしょう。
3)漏洩の公表のタイミングと内容
2の個人情報保護委員会への報告と同時に、個人情報が漏洩した事実を公表するか否かを検討しなければなりません。
もし、個人情報の漏洩が小規模の場合、既に対象の特定済みであり全ての対象の人に個別に連絡が可能なのであれば、漏洩を公表しないという手もあります。
ここで最も検討しなければいけないのは、「リピュテーションリスク(評価リスク)」についてです。
個人情報の扱いについて、ユーザーは敏感になってきています。もし漏洩を公表しなかった場合でも、内部の告発などから明るみになることが多くあります。
個人情報が漏洩したにも関わらず、隠蔽したことが明るみになれば、相当なバッシングを世間から受けることになるのは明らかです。
漏洩したことは企業としてマイナスイメージですが、漏洩の隠蔽はそれ以上のマイナスイメージとなるため、基本的には正直に公表した方がよいと言えるでしょう。
公表する場合は、以下の内容を記載しましょう。
- 個人情報が流出したサービス名また流出した件数
- 流出した個人情報の内容
- 今後の対策
4)今後の対策(謝罪と補償について)
まずは個人情報が漏洩してしまったことに対して謝罪し、漏洩事故が今後二度と起きないように再発防止策を検討します。
さらに、ユーザーに対しての補償をどのように行っていくかということが課題となります。
補償の金額について特にルールはありませんが、500円程度の商品券やクオカードなどを配布する方法が一般的です。
前例ですが裁判等になり、1人当たり6,000円や30,000円程度の慰謝料の支払いが命じられた判決もあります。
そのため、ユーザーに納得してもらえるきちんとした対応えおしなければなりません。
5)再発防止策についての検討
個人情報の漏洩は、企業としても重大な結果をもたらすため、再発防止策を検討しなければなりません。
セキュリティの不備や、従業員の意識の徹底不足などの企業としての不足点挙げ、その対策をする必要があります。
内部体制を整えるためには「組織における内部不正防止ガイドライン」も参考になります。
まとめ
個人情報の漏洩は会社にとって一大事であり、またその対処が非常に重要であると言えます。迅速に対応しなければ問題はどんどん大きくなってしまうため、企業としては迅速に対処しなければなりません。
個人情報が漏洩してしまった場合に備え、適切に対処できるように準備しておきましょう。