お問い合わせ
企業法務のご相談も受付中。お気軽にお問合わせください。
弁護士監修|個人情報が漏洩したときのベストな対策と防止策
企業における「個人情報」の取扱いは、年々慎重になされるようになってきました。事業拡大により、より一層、個人情報の取扱いを厳重に考え始めた企業も多いのではないでしょうか。
今回は、
- 個人情報が漏洩する主な原因
- そもそも、個人情報をどうしてここまで保護するのか
- 個人情報漏洩防止策
- 個人情報が漏洩したときのベストな対策
についてお伝えしていきます。
大切な顧客や従業員を被害から守るために。この記事が、個人情報の適切な管理を考える皆様のお役に立てれば幸いです。
[nlink url=”https://best-legal.jp/compliance-meaning-26636/”]
1、個人情報が漏洩する原因はさまざま
今の時代、顧客等の個人情報が漏洩したら大変だ、ということは、企業で働くみなさんなら、お分かりでいらっしゃるところです。
しかし、どのような原因で、個人情報が漏洩するのかを知らなければ、漏洩対策はできません。
まずは、個人情報が漏洩する主な原因からみていきましょう。
(1)内的要因
①故意の行為によるケース
有名な「ベネッセ事件」(後述)が、典型的な例です。
企業では、業務のために、従業員による個人情報の取扱いが欠かせません。そのため、従業員の中に、悪意ある者がいた場合、個人情報の持出しを防ぐのは、容易なことではないのです。
雇用している従業員のほか、退職者、業務委託先まで、しっかり、その管理状況を把握・管理する必要があります。
②ミスによるケース
これも、よくあります。一番注意すべき事態でしょう。
例えば、情報の誤送信、外出先でのスマホやパソコンの紛失等です。家族や知人へのうっかり漏洩等も注意すべきです。また、個人情報が載った資料の不適切な廃棄もないようにしなければなりません。
従業員のミスは、上記に限りません。個人情報の意味自体を、間違えて認識していることがあります。
個人情報とは、「特定の個人を識別することができる情報」ですが、単体で識別できなくても構いません。よくある勘違いは、「氏名、生年月日、連絡先が個人情報である」と限定的に考え、「氏名、生年月日、連絡先」を抜いておけば、個人情報には該当しない、というものです。
しかし、「いつ、どこで、何を購入した」という購買履歴データも、事業者が利用している他の情報と容易に照合して、特定の個人を識別することができるのであれば、個人情報に該当します。
個人情報とは何か、という意味の認識に誤解があることで、誤って個人情報の漏洩につながることもあります。
一般の従業員が、個人情報の定義を細かく理解したりすることは難しいと思います。ただ、広い範囲で、顧客等の情報について、慎重に取扱わなければいけないのだ、ということを理解してもらうための教育は必要でしょう。
③システムや機器の不具合
情報システムや機器の更新時等に不具合が生じて、情報流出に至ることもよく見受けられます。
(2)外的要因
外部からの不正アクセス等です。最近の例をいくつか挙げます。
①7pay(セブンペイ)
闇サイトで、大量のIDとパスワード情報を入手して、本人になりすましていたと言われています。
キャッシュレス決済の場合、通常は、2段階認証が行われます。すなわち、本人認証のために、IDとパスワードを入力し、その後に、事業者が認証コードを利用者の携帯電話にショートメッセージサービス(SNS)で送信、そのコードを入力するという2段構えの対応です。セブンペイでは、この2段階目の認証をしていなかったのです。脆弱なシステムを、外部からの不正アクセスで狙われたものです。
②株式会社リジョブ
ネットワーク調査にて、同社が使用するシステム用のサーバーへの不正アクセスの痕跡が確認され、これを調査したところ、テストサーバーのデータベースに、2015年12月5日以前に登録していたユーザー情報最大20万6991件が記録されていた事実が判明し、流出の可能性が浮上しました。
③鳥取市
市が運営するショッピングサイト「とっとり市」に対し、複数回の不正アクセスが発生し、情報が流出しました。1回目の不正アクセスでは、顧客情報2万7279件、注文情報5万9021件が流出、2回目の不正アクセスでは、396件の情報が流出したことがわかっています。
2、個人情報が漏洩したら、なぜマズイ?
(1)個人情報が漏洩して起こりうる問題
個人情報が漏洩したら、なぜ問題なのでしょうか。タウンページに名前や電話番号が気軽に掲載され、卒業アルバムも平然と売買されていた時代を過ごしてきた方も、まだまだ多数を占めています。
まずは、個人情報漏洩で起こりうる問題を確認していきましょう。
①勝手な勧誘
氏名や住所、電話番号、メールアドレス等の情報をもとに、迷惑メールや電話勧誘等が行われる可能性があります。
②詐欺や架空請求
商品の購入履歴等の情報をもとにして、詐欺や架空請求をされることも考えられます。
③脅迫やストーカー
プライバシー情報等から、脅迫やストーカー等が引き起こされることがあります。
④なりすまし(ID等の不正利用)
カード等の情報から、本人になりすまして、サービスを不正利用されることも考えられます。ペイペイ不正利用は、ペイペイでアカウントを作成し、闇サイトで入手した個人情報を用いて本人になりすました、と考えられています。個人情報が、闇サイトに大量に蓄積されていることがうかがわれます。
(2)ベネッセ事件を振り返ろう
①ベネッセ事件の概要
ベネッセは、「進研ゼミ」や「こどもちゃれんじ」を運営する、通信教育の最大手企業です。
2014年6月頃より、お客様から、「他の会社から頻繁にダイレクトメールが届く。ベネッセに登録した子供の情報が漏洩しているのではないか」との照会が、同社に相次ぎました。
同社の調査で、進研ゼミ等の顧客情報が、大量流出していることが判明。流出の原因は、同社グループ会社のエンジニアが、情報を勝手に持ち出して名簿業者に売却し、これを他の事業者が、名簿業者から購入して用いていたのです。
流出した情報は3500万件超、購入した事業者は、英会話大手ECC、塾、予備校、着物販売店等、数十社にも及びます。
同社は、著しく信用を失墜し、ピーク時420万件の会員が半減。赤字に転落します。同社は、被害者へ補償として、金券500円を交付する等、謝罪に努めました。その費用だけで、200億円にも及ぶとされます。その後も、顧客からの慰謝料請求訴訟で、グループ会社に対して、1人3300円の請求が認められました(東京地裁平成30年12月27日判決)。
②なぜ顧客は怒ったのか
大切なお子様の情報であり、しかも、被害件数が膨大なものだったからです。さらに、漏洩の原因は、同社グループ会社のずさんな情報管理にありました。エンジニアが、業務用パソコンからスマホに顧客情報をダウンロードして、持ち出していたのです。
お子様の情報は、教育産業等にとっては、喉から手が出るほど欲しい情報です。名簿業者から話を持ちかけられて、大手の企業が、出所もよく確かめず、安直に購入したことも、大きな問題となりました。
(3)個人情報漏洩は、お客様への背信行為・会社を裏切る行為
お客様の情報、とりわけ個人情報は、お客様からの大切なお預かり物です。お客様は、特定の目的のために、個人情報を事業者に預けられたのです。お客様にお約束した業務の範囲でのみ、使用が許されます。それ以外の目的で、勝手に利用するのは、お客様の信頼を裏切る行為です。
事業者自身が、勝手な利用をするのは論外ですが、管理のずさんさから外部に流出して、悪意ある者に利用されてしまうというのも、事業者として残念な行為です。
なお、自社の従業員の情報も、個人情報に変わりありません。お客様の個人情報と同様に、慎重に取扱う必要があります。大手企業の従業員情報等は、事業者からすれば、見込み客の情報として、とても役立ちます。是非とも欲しいと思うでしょう。「自分の会社は、企業向けの仕事がメインだ。個人客を相手にしていないから、個人情報保護は関係がない。」というのは誤解です。個人情報の取扱いは、すべての事業者に、慎重な対応が求められています。
3、個人情報の漏洩の防止策
個人情報漏洩防止策については、個人情報保護委員会や独立行政法人情報処理推進機構がわかりやすい対策を示しています。
以下、重要なポイントをご紹介します。
(1)漏洩防止策のポイント
個人情報については、
- 「取得・利用」(適正取得、目的の範囲内での利用等)
- 「保管」
- 「提供(本人以外に情報提供する場合に、本人の同意をとる等)」
- 「開示(本人自身から情報開示を求められたときの対応)」
という4つの段階で、対応すべきことが決められています。
漏洩防止策について一番のポイントになるのは、「保管」の項目でしょう。
次のように、安全管理措置が義務付けられています。
①組織的安全管理措置
個人情報の取扱いルールや責任者が決められていること。
個人情報の保管場所や漏洩発生時の社内報告先が決められていること。
社内報告先等、その会社の中で、個人情報保護の責任を持つ部署は、明確にしておく必要があります。後述「4」(1)を参照してください。
②人的安全管理措置・従業者監督
個人情報の取扱いについて、従業員に教育が行われ、保管場所等のルールが周知されていること。
③物理的安全管理措置
個人情報が含まれる書類や電子媒体について、誰でも見られる場所・盗まれやすい場所に放置されているようなことがない。
不要になった情報は、適切に廃棄・削除されている。
④技術的安全管理措置
パソコン等で個人情報を取扱う場合、セキリティ対策ソフトウェア等をインストールして、最新の状態にしていること。ログイン時に、パスワードを要求したり、ファイルにパスワードをかけること等も含む。
⑤委託の場合の取扱い
個人情報の取扱いを委託する場合、秘密保持契約を締結する等、委託先に適切な管理を求めること。
(2)こんなことにも注意
上記は、会社としての組織的な注意事項です。
従業員には、日常の行動の中で、次のような点にも、留意させるべきでしょう。
①会社の中で、やってはいけないこと。
- 業務上大切な書類を、机上に放置して離席、帰宅
- プリンタに出力した書類を、すぐに取りに行かず放置
- 起動中のパソコンを、ロックせず離席(他人が利用・閲覧できてしまう)
- モバイル可能なパソコンを、机上に放置して帰宅(誰かに持ち出されるかもしれません)
- 電子媒体や書類を、机上や引き出しに放置(鍵のかかるキャビネットに、確実に格納すべきです)
②社外で、やってはいけないこと。
- 居酒屋、電車の中等、周りの人がいるところで、仕事の話を大声でする(携帯電話で大声で話すのも問題です)。パソコンで仕事をする(隣の人や周りの人から、大事な情報を見られてしまいます)
- ブログや掲示板に、仕事の話をアップ(SNSでの情報漏洩は、最近、非常に深刻な問題になっています)
- 同窓会等で気の合った仲間に、仕事の話をする
4、個人情報が漏洩した場合のベストな対策とは
個人情報取扱事業者には、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)に基づく措置が求められています。
この順序に従って、注意点を確認しておきましょう。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 影響を受ける可能性のある本人への連絡等
- 事実関係及び再発防止策等の公表
- 内容によって、個人情報保護委員会等への報告
(1)事業者内部における報告及び被害の拡大防止
①速やかな報告
個人情報の漏洩やそのおそれがあると発覚した場合には、組織的安全管理措置で定められた責任者に、直ちに報告し、被害の拡大防止に必要な措置を取ります。
大きな情報漏洩の事案では、報告遅延が、被害拡大につながることもよく見受けられます。そのため、個人情報が漏洩した場合は、緊急対応がマストであると考えておきましょう。組織の中で、情報が滞らないことが第一です。「第1報は不確かなものであっても構わない。」といった対応姿勢を、社内教育で徹底すべきです。
②被害の拡大防止
組織の中で、情報を共有します。別の部署の人が、事態を知らずに、被害が拡大したということも起こりえます。
(2)事実関係の調査及び原因の究明
この段階では、専門的な検討が必要です。
社内の専門部署だけで手に負えない可能性も考えて、外部の専門家への連絡や助言・支援を求めることも、ためらうべきではありません。
前述「3」(1)のそれぞれの安全管理措置等を、もう一度見直してみるべきでしょう。
(3)影響範囲の特定
事実関係や原因が判明すれば、影響範囲がどこまで及んでいるかを、適時・的確に把握する必要があります。
範囲の見積もりを誤ったまま事実関係を公表し、後日になって、さらに被害が大きかったと判明した場合には、会社の著しい信用失墜につながりかねません。
(4)再発防止策の検討及び実施
言うは易く、行うは難しいのが、再発防止策の検討・実施です。
前述「3」(1)のそれぞれの安全管理措置等を、もう一度見直して、対策をとります。
一度、再発防止策を立てても、本当に実効性があるのかを確認し、見直しを継続するPDCAサイクルを回します。また、ともすると事故発生直後には、不必要に過大なチェック体制を作ってしまいがちです。その後の状況次第では、対策を見直して、簡略化することも考える必要が出てくるでしょう。
(5)影響を受ける可能性のある本人への連絡等
漏洩した情報の内容等によって、二次被害が発生してしまうおそれもあります。二次被害の防止、類似事案の発生防止のためにも、事実関係等を、速やかに本人に連絡しましょう。
(6)事実関係及び再発防止策等の公表
事実関係や再発防止策の公表は、二次被害の防止、類似事案の発生防止等のために必須です。
漏洩の被害者にとっては、情報が漏洩されていると知っていれば、身に覚えのない勧誘が来たり、架空請求等が来ても、「ひょっとすると、漏洩した情報を使っているのか?」と気が付いて、惑わされずに済むことも多いでしょう。これも、どの段階で公表するのか、どのような内容を公表するか、現実の判断は、非常に難しいものです。
被害拡大防止の観点からは、ある程度見極めがつけば、早めに公表すべきでしょう。「すべて明らかになってから公表する」という姿勢では、被害の拡大を防げない可能性があります。
(7)個人情報保護委員会等への報告
①趣旨
個人情報取扱事業者は、漏洩等事案が発覚した場合は、事実関係及び再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めることとされています。
②報告不要の場合
次の場合は、報告不要とされています。
要件が詳細に定められており、誤解のないようにする必要があります。
「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」
「FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」
③報告先が、個人情報保護委員会でない場合があります。
例外その1:認定個人情報保護団体の対象事業者
認定個人情報保護団体の対象事業者である個人情報取扱事業者は、認定個人情報保護団体に報告します。
(参考)認定個人情報保護団体一覧:金融・保険業、放送、電気通信業、警備業、製薬・医療・介護、クレジット等40団体が登録されています。
一般社団法人日本情報経済社会推進協会(JIPDEC)もそのひとつです。
プライバシーマークの付与を行っている協会です。プライバシーマーク付与企業については、個人情報漏洩時の報告先に違いがあります(後述例外その3)。
例外その2:報告徴収及び立入検査の権限が事業所管大臣に委任されている業種
「緊急かつ重点的に個人情報等の適正な取扱いを確保する必要がある場合」又は「効果的かつ効率的に個人情報等の適正な取扱いを確保するために事業所管大臣が有する専門的知見を特に活用する必要がある場合」に、報告等の権限が、事業所管大臣に委任されている業種です。この場合、当該事業所管大臣に報告します。
詳細は、次をご覧ください。「改正個人情報保護法に基づく権限の委任について」
例外その3:プライバシーマーク付与事業者
プライバシーマーク制度は、一般社団法人日本情報経済社会推進協会(JIPDEC)により、運営されています。
日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報の適切な保護措置を講ずる体制を整備している事業者等について、その内容を評価して、プライバシーマークを付与し、事業活動に関して、プライバシーマークの使用を認める制度です。現在、1万6450社ほどに付与されています。
プライバシーマーク付与事業者は、付与適格決定を受けた審査機関への報告が義務付けられています。
詳細は、次をご覧ください。
JIPDEC個人情報の取扱いに関する事故の報告について
5、個人情報が漏洩したときの本人への損害賠償の相場
これは、事例によって相違があります。
慰謝料だけの場合であれば、一見して小さな額のようにも見えますが、1事件あたりの漏洩件数が相当数に上るため、総額はかなりの額になります。
(1)現実の被害の有無
クレジットカードの情報が漏洩して、不正利用された場合には、現実に二次被害が発生していますので、不正利用相当額の損害賠償責任を負う可能性があります。
情報が流出しても、特に現実の被害が生じていない場合には、次の精神的な苦痛による慰謝料の問題となります。
(2)慰謝料
漏洩した個人情報が、どの程度デリケートな情報であったかにより、精神的な苦痛による慰謝料の算定は変わってくることになります。これも、ケースバイケースであり、一概に予想することは困難ですが、参考になる事例を挙げます。
①ベネッセ事件(前述)
ベネッセは、500円の金券を配布していましたが、裁判所は、グループ会社に対して、1人当たり3300円の支払いを命じました(慰謝料3000円+弁護士費用300円)。
②京都府宇治市住民基本台帳データ漏洩事件(1999年)
京都府宇治市の住民基本台帳データ約21万件が、外部業者により、名簿業者に販売された事件。市民の損害賠償請求訴訟について、裁判所は1人当たり1万5000円(慰謝料1万円+弁護士費用5000円)の支払いを命じました。
個人情報の基本4情報(住所・氏名・性別・生年月日)が漏洩した場合の慰謝料についての初の判決であり、これが一つの相場ではないかとも言われています。
③TBC個人情報漏洩事件(2002年)
エステ業界大手のTBCの事件です。WEBサーバー上の個人情報について、アクセス制限をしなかったため、約5万人分のデータが閲覧可能な状態になっていたものです。漏洩したデータにより、迷惑メール等の二次被害が発生しました。
裁判所は、1人当たり3万5000円(慰謝料3万円+弁護士費用5000円)の支払いを命じました。漏洩した情報の中には、関心をもったエステのコース名やスリーサイズ等、人に知られたくない情報が含まれていたことが考慮され、過去最高の額になったと考えられます。
④Yahoo!BB個人情報漏洩事件(2004年)
通信サービス大手Yahoo!BBによる事件。不正アクセスで、450万件を超える会員情報が漏洩しました。運営元のソフトバンクBBが、全会員に対して、500円分の金券を配布して、謝罪しましたが、会員らから損害賠償請求訴訟が起こされ、1人当たり5500円(慰謝料4500円+弁護士費用1000円)の支払いが命じられました。漏洩した個人情報が、「住所・氏名・電話番号・申込日・メールアドレス・ID」であり、性別・生年月日が含まれていなかったので、宇治市の事件よりは、安く算定されたとみられています。
まとめ〜個人情報漏洩防止対策・漏洩事後対策については、弁護士へ相談を
以上、個人情報漏洩事案の全体イメージを理解いただくために、ポイントだけをお話しました。
漏洩防止対策や漏洩の事後対策については、個人情報保護委員会等、所管の官庁から様々な通達・告示・ガイドライン等も示されていますが、それぞれの会社で事情は異なります。対応できる人材も限られているでしょう。
情報管理に詳しい弁護士のアドバイスを得て、適切な対応をとることをお勧めします。
とりわけ、現実に個人情報漏洩が生じたときの事後対応は、刻々と情勢が変わる中で、即時の的確な判断が求められます。緊急事対応・危機管理の問題です。大手の企業でも、不適切な対応が、かえって二次被害を生んだと思われるケースもあります。
平時から、弁護士のアドバイスを受けておき、緊急時には、できる限り早い段階で、弁護士の積極的な関与を求めることが望ましいでしょう。
この記事が、そのような弁護士との専門的な相談の際の、一つの手がかりになれば幸いです。
※この記事は公開日時点の法律をもとに執筆しています
関連記事
労働審判が訴訟移行する場面とは?紛争長期化リスクを回避するコツを解説
労働審判法とは?会社が従業員に訴えられたときの対処法と注意点を解説
労働審判は会社側に不利?弁護士への相談で手続きが有利になる理由を解説
ページの先頭へ