個人情報漏洩
Q.個人情報や顧客リストが外部に漏れたことが判明しました。
企業としては、どのような対応をすべきでしょうか?すぐに公表や本人への通知をしなければならないのでしょうか?
対応としては、まずは、個人情報保護法その他の法令や各業法などでどのような「義務」が課せられているかを確認することが必要です。通常は、直ちに法律上の義務が生じる事業・事態は、実は多くはなく、対応を自主判断しなければならないことが多いといえます。
個人情報の漏洩時の対応にあたっては、一般に以下のような観点の「検討」が必要と言われています(個人情報保護委員会告示)。
ただし、あくまで「検討」ですので、「漏洩、即公表」が法的に義務付けられているわけでもなく、また、そうすべき(公表・通知すべき)とも決して限りません。
場合によっては、法的に義務ではなく、社会的にも決して公表が望ましいわけでないにもかかわらず、不適切な対応を行い、問題が肥大化するようなケースもあります。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
(2)事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3)影響範囲の特定
上記(2)で把握した事実関係による影響の範囲を特定する。
(4)再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
(5)影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6)事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。
2 具体的な対応
具体的な対応ですが、以下のようなファクターを考慮して判断すべきです。
(1)情報の内容・数量・範囲
(2)悪用の可能性exパスワード、アカウント、決済情報等が含まれているか
(3)公表することの意味・効果
(4)悪用・悪用発覚の場合の措置・対応
漏洩時の対応は非常にセンシティブです。
個人情報の漏洩の事態が生じると、得てして大きな混乱が生じて、冷静に整理できない事態も往々にしておきます。
弁護士などの専門家にいち早く相談し、冷静な分析の元、あるべき対応を早期に確定することが肝要です。
弁護士法人永代共同法律事務所では、多くの経験とノウハウをもって、企業活動の支援・防衛を行っております。お気軽にご相談ください。