ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
INDEX
「個人情報が漏えいしてしまった際に行うべき対応って何?報告は必要?」 このような疑問をお持ちの企業ご担当者様は、少なくないのではないでしょうか。
企業として万全の対策を講じていても、個人情報の漏えいは残念ながら発生してしまうことがあります。実際に2023年には、誤交付や誤送付といったヒューマンエラーによる漏えい事案が増加し、その発生件数は過去最多を記録しました。
万が一自社で個人情報が漏えいしてしまった場合、企業のご担当者様は速やかな対応と報告が求められます。
なぜなら、事業者が取り扱う個人情報が漏えいした場合、法律やガイドラインに基づき、個人情報保護委員会や所轄官庁への報告が義務付けられているからです。
本記事では、個人情報の漏えい発覚後の具体的な報告方法や、そもそもどのような事案が個人情報漏えいに該当するのかといった基本を解説していきます。
この記事を読み終えれば、予期せぬ個人情報漏えいにも迅速かつ的確に対応できる万全の準備が整います。
2022年4月の個人情報保護法改正により、個人情報漏えい時の報告は「努力義務」から「義務」へと格上げされました。これは、デジタル社会の進展に伴い、個人情報の価値が高まり、漏えいによる被害が深刻化していることを踏まえたものです。
報告義務の意義は以下の通りです。
報告が必要となるのは、以下のようなケースです。
要配慮個人情報とは、人種、信教、性的指向、障害、遺伝情報、病歴、犯罪歴など、差別につながるおそれのある情報のことです。これらの情報が漏えいした場合、個人が差別や偏見の対象となる可能性が高まり、深刻な人権侵害につながる恐れがあります。
【具体的な事例】
財産的被害が生じるおそれがある情報とは、クレジットカード番号、銀行口座番号、暗証番号などの金融情報や、個人識別番号(PIN)などの個人識別情報のことです。これらの情報が漏えいした場合、不正利用されることで経済的な損害が発生するおそれがあります。
【具体的な事例】
ハッキングや不正アクセスなど、悪意を持って行われた行為により個人情報が漏えいした場合を指します。
【具体的な事例】
漏えい対象が1000人を超える場合、社会的影響が大きいため報告が義務付けられます。
【具体的な事例】
付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態も漏えい等に該当します。
これらの漏えいが発覚した場合、直ちに報告をしなければなりません。
漏えい等を認知した場合の手順は以下の通りです。
プライバシーマーク付与機関へ書面で報告します。報告書には以下を明確に記載します。
必要に応じて、速報・続報・確報の区分を設け、段階的に報告を行います。
Pマーク(プライバシーマーク)取得企業の個人情報漏えいについては、下記のコラムで詳しく説明しています。
Pマークのルールに違反するとどうなる?その後の対応方法も合わせて解説!
漏えい内容に応じて、取引先、委託元、本人へ連絡します。特に要配慮個人情報や財産的被害が想定される場合は、速やかに本人通知を行います。
個人情報漏えいの報告は、「速報(新規報告)」と「確報(続報)」の2段階で報告することが義務付けられています。
早期に状況を把握し、被害拡大を防ぎ、関係機関への連絡や対策の開始を促すために行います。
漏えいに関する詳細な情報を把握し、再発防止策を講じるために行います。
報告の遅延は、付与機関や審査機関から「管理体制上の不備」と判断される可能性があります。
報告体制を平時から明確にし、緊急時に迷わず行動できるよう、社内手順書・連絡網を整備しておくことが重要です。
漏えい対象にマイナンバーが含まれる場合は、「速報」として審査機関に報告をしなければなりません。
【速報が必要な事故等】
- 情報提供ネットワークシステム等からの漏えい、滅失、き損
- 不特定多数の者に閲覧された
- 不正の目的による漏えい、滅失、き損
- 100人を超える場合
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
※いずれも事故等が発生したおそれがある事態も含める
5.初期対応の実務ポイント
漏えいが発生した際の初期対応は、被害の拡大を防ぎ、関係者への信頼を守るために非常に重要です。
個人情報保護委員会の報告までに行っておきたい、初期対応をご紹介します。
まずは、漏えいの事実を正確に把握し、影響範囲を特定することが求められます。漏えいの経路を特定し、外部への流出を阻止するための措置を講じるとともに、内部への拡散を防ぐための対策も検討する必要があります。
具体的には、漏えいした個人情報の種別、件数、漏えい経路などを詳細に調査し、影響を受ける可能性のある個人を特定します。漏えいの原因となったシステムへのアクセスを制限し、さらなる漏えいを防止するなどの措置も必要です。
漏えい発生直後の対応は、被害を最小限に抑えるために極めて重要です。迅速かつ的確な判断と行動が求められます。
関係者(従業員、顧客、取引先など)に状況を説明し、必要な対応を行います。 関係者への丁寧かつ迅速な情報提供は、信頼回復につながり、二次被害を防止する上でも不可欠です。特に、被害を受けた個人に対しては、誠意をもって対応し、不安を解消する必要があります。
証拠となるデータを消去したり改ざんしたりせず、適切に保管します。 証拠の保全は、後の調査や法的対応において不可欠です。また、再発防止策の検討にも役立ちます。
法的な問題が発生する可能性がある場合は、弁護士などの専門家へ相談しましょう。 専門家のアドバイスを受けることで、適切な対応を取ることができます。
漏えいの内容に応じ、本人通知が必要です。
【通知内容】
【通知方法】
個人情報漏えいは、企業に多大な損害をもたらします。顧客や取引先、さらには社会全体からの信頼を損なう結果となり、企業の存続に関わる深刻な影響を与えることもあります。以下では、具体的な影響について詳しく説明します。
個人情報漏えいは、企業の信頼性を大きく損ない、ブランドイメージの低下を招きます。一度傷ついたイメージを回復するには多大な時間がかかります。特に、SNSやインターネットを通じて情報が拡散する現代では、漏えいに関するネガティブな評判が瞬く間に広がり、企業への批判が高まる可能性があります。このような状況は、既存顧客だけでなく、潜在顧客や将来的な取引先にも悪影響を及ぼします。
個人情報を適切に管理できない企業だという印象を与えることで、顧客からの信頼を失う恐れがあります。特に、漏えいが直接的に顧客に被害を与える場合、顧客が取引を中止したり、競合他社に乗り換えたりする可能性が高まります。また、口コミやレビューサイトでの評価が悪化し、新規顧客の獲得も困難になるでしょう。
刑事罰や行政処分を受ける可能性があり、場合によっては民事上の損害賠償請求を受けることもあります。特に、大規模な漏えい事件では、多額の賠償金を支払う必要が生じ、企業財務に大きな影響を与える可能性があります。
漏えいの対応には多額のコストが伴います。例えば、被害者への謝罪や補償、漏えい原因の調査および対策の実施、外部専門家への相談費用などです。また、ブランド価値の低下により顧客離れが進むと、売上減少にもつながります。
Pマークは、企業が個人情報を適切に管理している証として、取引先や顧客からの信頼を得る重要な指標です。しかし、漏えいが発生した場合、このPマークの付与が取り消される可能性があります。これにより、取引先との契約が見直されるリスクが高まり、新規のビジネスチャンスを逃すことにもつながります。
個人情報漏えい対応は、発生後の「事後対応」だけでは十分ではありません。被害を最小限に抑えるためには、平時からの準備と体制構築が不可欠です。以下の観点を押さえておくことで、緊急時に迅速かつ的確な対応が可能になります。
【ポイント】
「平時からの備え」は単なるセキュリティ対策にとどまらず、マニュアル・訓練・技術・外部連携・組織文化の5つの柱をバランスよく整えることが重要です。これにより、漏えい発生時の初動スピードと対応品質が格段に向上します。
個人情報漏えいは、企業の存続に関わる重大なリスクです。改正個人情報保護法により報告義務が強化された今、事業者は「迅速な報告」「誠実な通知」「徹底した初期対応」を行うことが求められます。
漏えい発生時には、速報・確報の二段階報告を期限内に行い、本人通知や公表を通じて透明性を確保することが不可欠です。さらに、平時からの備えとして、インシデント対応体制を整え、訓練やセキュリティ強化を継続的に行うことが、企業の信頼を守る唯一の道です。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。