ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
個人情報の漏えいが発生した場合、事業者には報告義務があります。どこに何を報告すれば良いのか?企業が信頼を守るための最善策をご紹介します。
INDEX
2022年4月1日に施行された個人情報保護法の改正により、個人情報の漏えいが発生した場合の、事業者の報告が努力義務から義務へと変更されました。
この報告義務は、漏えいの早期発見と被害拡大の防止、そして企業の責任を果たすために非常に重要なものです。
個人情報保護法では、以下のいずれかに該当する場合に、個人情報保護委員会への報告が義務付けられています。
要配慮個人情報とは、人種、信教、性的指向、障害、遺伝情報、病歴、犯罪歴など、差別につながるおそれのある情報のことです。これらの情報が漏えいした場合、個人が差別や偏見の対象となる可能性が高まり、深刻な人権侵害につながる恐れがあります。
・従業員の病歴情報が外部に漏えいし、雇用差別につながった: 健康診断の結果や治療歴といった病歴情報が外部に漏えいし、その情報に基づいて雇用を拒否されたり、昇進の機会を奪われたりする可能性があります。
・顧客の宗教情報が差別的なマーケティングに利用された: 顧客の宗教情報が、特定の宗教に対する偏見に基づいた商品やサービスの勧誘に利用された場合、顧客は大きな精神的な苦痛を受ける可能性があります。
財産的被害が生じるおそれがある情報とは、クレジットカード番号、銀行口座番号、暗証番号などの金融情報や、個人識別番号(PIN)などの個人識別情報のことです。これらの情報が漏えいした場合、不正利用されることで経済的な損害が発生するおそれがあります。
・クレジットカード情報の漏えい: 漏えいしたクレジットカード情報を使って、不正に商品を購入されたり、キャッシングが行われたりする可能性があります。
・ネットバンキングのパスワードの漏えい: 漏えいしたパスワードを使って、ネットバンキングに不正ログインされ、預金が盗まれる可能性があります。
不正の目的をもって行われた漏えいとは、ハッキングや不正アクセスなど、悪意を持って行われた行為により個人情報が漏えいした場合を指します。
・ウェブサイトへの不正アクセス: ハッカーにより、ウェブサイトの脆弱性を悪用され、顧客情報が大量に盗まれた場合。
・故意のデータ持ち出し: 私的な目的で、内部従業員により顧客情報を外部に持ち出した場合。
・フィッシング詐欺: 偽のウェブサイトが作られ、個人情報を不正に入手された場合。
1000人を超える漏えいは、社会的な影響が大きく、被害が拡大する可能性が高いため、報告が義務付けられています。
・紙媒体の廃棄ミス: 個人情報が記載された書類が適切にシュレッダー処理されずに廃棄され、大量の個人情報が外部に流出した。
・誤送信: 大量の顧客リストが、誤ったメールアドレス宛に送信され外部に漏えいした。
・クラウドサービスの設定ミス: クラウドサービスの設定ミスにより、顧客情報が誤って公開設定になってしまい、多数の顧客情報が外部に漏えいした。
個人情報漏えいの報告先は、主に個人情報保護委員会です。報告先はこちらよりフォームを選択し、報告します。
また、Pマーク(プライバシーマーク)を取得している企業は、JIPDEC(一般財団法人日本情報経済社会推進協会) または認定機関に対しても報告が必要です。各認定機関HPでご確認ください。
Pマーク(プライバシーマーク)取得企業の個人情報漏えいについては、下記のコラムで詳しく説明しています。
https://cert-next.com/pmark/column/pmark_violation/
個人情報漏えいの報告は、「速報(新規報告)」と「確報(続報)」の2段階で報告することが義務付けられています。
早期に状況を把握し、被害拡大を防ぎ、関係機関への連絡や対策の開始を促すために行います。
・報告期限: 漏えいを知った日から原則5日以内
・報告内容: 漏えいの概要(日時、内容、影響範囲など)を速やかに報告します。
漏えいに関する詳細な情報を把握し、再発防止策を講じるために行います。
・報告期限: 漏えいを知った日から原則30日以内(不正の目的によるおそれがある漏えい等が発生した場合には、60日以内)
・報告内容: 速報で報告した内容を詳細に調査し、以下の事項について報告します。
(1)漏えいの原因の詳細な分析結果
(2)影響を受けた人の具体的な人数
(3)再発防止策の詳細な内容(実施時期、担当者など)
(4)漏えい事案に関する調査報告書
(5)その他、必要な事項(損害賠償請求に関する情報など)
漏えいが発生した際の初期対応は、被害の拡大を防ぎ、関係者への信頼を守るために非常に重要です。
個人情報保護委員会の報告までに行っておきたい、初期対応をご紹介します。
まずは、漏えいの事実を正確に把握し、影響範囲を特定することが求められます。漏えいの経路を特定し、外部への流出を阻止するための措置を講じるとともに、内部への拡散を防ぐための対策も検討する必要があります。
具体的には、漏えいした個人情報の種別、件数、漏えい経路などを詳細に調査し、影響を受ける可能性のある個人を特定します。漏えいの原因となったシステムへのアクセスを制限し、さらなる漏えいを防止するなどの措置も必要です。
漏えい発生直後の対応は、被害を最小限に抑えるために極めて重要です。迅速かつ的確な判断と行動が求められます。
関係者(従業員、顧客、取引先など)に状況を説明し、必要な対応を行います。 関係者への丁寧かつ迅速な情報提供は、信頼回復につながり、二次被害を防止する上でも不可欠です。
特に、被害を受けた個人に対しては、誠意をもって対応し、不安を解消する必要があります。
証拠となるデータを消去したり改ざんしたりせず、適切に保管します。 証拠の保全は、後の調査や法的対応において不可欠です。また、再発防止策の検討にも役立ちます。
法的な問題が発生する可能性がある場合は、弁護士などの専門家へ相談しましょう。 専門家のアドバイスを受けることで、適切な対応を取ることができます。
個人情報漏えいは、企業に多大な損害をもたらします。顧客や取引先、さらには社会全体からの信頼を損なう結果となり、企業の存続に関わる深刻な影響を与えることもあります。以下では、具体的な影響について詳しく説明します。
個人情報漏えいは、企業の信頼性を大きく損ない、ブランドイメージの低下を招きます。一度傷ついたイメージを回復するには多大な時間がかかります。特に、SNSやインターネットを通じて情報が拡散する現代では、漏えいに関するネガティブな評判が瞬く間に広がり、企業への批判が高まる可能性があります。このような状況は、既存顧客だけでなく、潜在顧客や将来的な取引先にも悪影響を及ぼします。
個人情報を適切に管理できない企業だという印象を与えることで、顧客からの信頼を失う恐れがあります。特に、漏えいが直接的に顧客に被害を与える場合、顧客が取引を中止したり、競合他社に乗り換えたりする可能性が高まります。また、口コミやレビューサイトでの評価が悪化し、新規顧客の獲得も困難になるでしょう。
刑事罰や行政処分を受ける可能性があり、場合によっては民事上の損害賠償請求を受けることもあります。特に、大規模な漏えい事件では、多額の賠償金を支払う必要が生じ、企業財務に大きな影響を与える可能性があります。
漏えいの対応には多額のコストが伴います。例えば、被害者への謝罪や補償、漏えい原因の調査および対策の実施、外部専門家への相談費用などです。また、ブランド価値の低下により顧客離れが進むと、売上減少にもつながります。
Pマーク(プライバシーマーク)は、企業が個人情報を適切に管理している証として、取引先や顧客からの信頼を得る重要な指標です。しかし、漏えいが発生した場合、このPマークの付与が取り消される可能性があります。これにより、取引先との契約が見直されるリスクが高まり、新規のビジネスチャンスを逃すことにもつながります。
個人情報漏えいは、企業の信頼性や社会的評価に大きな影響を与えます。これを防ぐためには、日頃から適切なセキュリティ対策や従業員教育を徹底することが重要です。
万が一漏えいが発生した場合には、迅速な状況把握と関係機関への報告を行い、被害拡大を防ぎましょう。
また、原因究明を徹底し、再発防止策を講じることで、同様の問題を防ぐことが可能です。顧客や取引先への誠実な対応は信頼回復に繋がり、長期的な視点での改善が企業の信用を守る鍵となります。
漏えいのリスクを常に意識し、継続的な取り組みを行うことが、企業の存続と発展に不可欠です。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。