複数の店舗及びインターネットの販売サイト上でインテリア雑貨や生活用品を販売している高橋社長は、会社が保有する個人情報が漏洩してしまったかもしれないと不安になって、どのように対応したらよいか分からず、賛多弁護士に相談に来られました。
* * *
高橋社長:先日、当社の従業員のパソコンに不正アクセスされた形跡があることが判明しました。このパソコンには顧客の住所や電話番号、それにクレジットカード情報などの個人情報が保存されていたので個人情報が漏洩したのではないかとても不安です。どうしたらよいのでしょうか。
賛多弁護士:それは大変ですね。個人情報の漏洩が生じた場合、次の措置を採るようにしてください。①社内の責任者へ報告し被害の拡大防止、②漏洩等の事実関係の調査及び原因の究明、③影響範囲の特定、④再発防止策の検討及び実施、⑤影響を受ける可能性のある本人へ連絡、⑥事実関係及び再発防止策等について速やかな公表です。
さらに、事実関係及び再発防止策を速やかに個人情報保護委員会等に報告するよう努めてください。
高橋社長:やることが沢山ありすぎて、どれから手を付けていいか分かりません。
賛多弁護士:現時点では不正アクセスを受けたことは確認できていますが、個人情報が漏洩したかどうかは分からないということですので、まずは個人情報の漏洩の事実の有無を調査する必要がありますね。不正アクセスのケースでは自社での調査が難しいようであれば、専門家に依頼すればパソコンのログなどから情報漏洩の有無を確認できるケースが多いと思います。
高橋社長:もし個人情報が漏洩していた場合、次にどうすればいいでしょうか。
賛多弁護士:二次被害を防ぐために、早急に本人へ通知し、委員会への報告や公表をする必要があります。確度の高い原因究明や再発防止策の検討はとりあえず後でも構いません。
高橋社長:必ず本人への通知や個人情報保護委員会等への報告を行わなければならないのでしょうか。
賛多弁護士:ケースにもよりますが、二次被害が発生する恐れがある場合にはそうすることが望ましいでしょう。もっとも、令和2年の個人情報保護法の改正により、令和4年4月1日以降は、漏洩等が発生し、個人の権利利益を害する恐れが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務化されますのでご注意ください。
高橋社長:個人情報保護委員会への報告や本人への通知が必要となる「個人の権利利益を害する恐れが大きい場合」とは具体的にどのような場合をいうのでしょうか。
賛多弁護士:①要配慮個人情報、②財産的被害が発生する恐れがある場合、③不正アクセス等故意によるもの、④1000人を超える個人データの漏洩等があった場合が対象となります。
高橋社長:いつまでに報告しなければならないのでしょうか。
賛多弁護士:はい。報告のタイミングですが速報と確報の2段階での報告が必要となります。まずは二次被害防止の観点から、漏洩の事実を認識した時点で速やかに報告を行います。さらに、30日以内に確報の必要が求められています。
高橋社長:時間的にかなり厳しいですね。
賛多弁護士:そうですね。そのため今後は個人情報が漏洩した場合に備えて、社内で責任者を選定し、対応マニュアルを整備しておく必要がありますね。ともかく、まずは今回の不正アクセスで情報漏洩があったのかを早急に確認してください。
高橋社長:わかりました。早速、会社に戻って事実関係を確認したいと思います。今後の対応についてまたご相談させていただきますので引き続きよろしくお願いします。
* * *
最近は、テレワークなどにより個人情報を社外へ持ち出す機会が増えており個人情報が漏洩するリスクが増加しています。また外部からの不正アクセスによって故意に個人情報が盗まれる事案も増加していますので、個人情報の漏洩が発生した場合に備えて対応を事前に検討しておく必要があります。
個人情報の漏洩が生じた場合、個人情報保護委員会によれば、次の①~⑥について必要な措置を講じることが望ましいとされています。
①事業者内部において責任者へ直ちに報告するとともに、被害の拡大防止措置を採ること
②漏洩等の事実関係の調査及び原因の究明に必要な措置を採ること
③影響範囲を特定すること
④再発防止策の検討及び実施に必要な措置を速やかに採ること
⑤二次被害等の防止の観点から、影響を受ける可能性のある本人へ速やかに連絡し、又は本人が容易に知りうる状態に置くこと
⑥二次被害等の防止の観点から、事実関係及び再発防止策等について速やかに公表すること
そして、事実関係及び再発防止策を速やかに個人情報保護委員会等に報告するよう努めることとされています。
さらに、今般令和2年に個人情報保護法が改正され、個人情報の漏洩、滅失もしくは毀損(以下「漏洩等」という。)が発生した場合の事業者が採るべき対応として、これまでは個人情報保護委員会への報告や本人への通知は努力義務でしたが、個人の権利利益を害する恐れが大きい場合には個人情報保護委員会への報告及び本人への通知が義務付けられることになります(改正個人情報保護法22条の2)。もしこれらの義務を怠った場合には、個人情報保護委員会から、勧告、命令、違反の事実の公表等の処分の対象となります(改正法42条1項、3項、4項)。
個人の権利利益を害する恐れが大きい場合とは、①要配慮個人情報が含まれる場合、②財産的被害が発生する恐れがある場合、③不正アクセス等故意による場合、④1000人を超える個人データの漏洩等の場合を指します(施行規則6条の2)。
個人情報の漏洩等が発生した場合の報告等までの期間が限られているため(改正法施行規則6条の3)、事業者としては個人情報の漏洩等が発生した場合に備えて、予め責任者の選定や対応マニュアルなどの整備をしておくことが重要です。
さらに、漏洩等を未然に防止するために、セキュリティの専門部門の設置や外部専門家との連携、情報セキュリティに関する社内規程や行動指針の作成、社員教育や啓発、システムを最新状態に保持すること、脆弱性診断、マルウェア対策、個人情報の暗号化などの措置を講じておくことも重要です。
改正個人情報保護法の施行日は令和4年4月1日で(但し、一部条項は前倒しで施行)、今後は改正法にかかるガイドラインやQAなどが公表される見通しです。
なお、個人情報の漏洩等が生じた場合の対応や個人情報保護委員会への連絡先については、下記の個人情報保護委員会ホームページ「漏えい等の対応(個人情報)」をご参照下さい。
<ご参考>
・「個人情報の保護に関する法律等の一部を改正する法律(概要)」(個人情報保護委員会HP)
・「漏えい等の対応(個人情報)」(個人情報保護委員会HP)
執筆:鳥飼総合法律事務所 弁護士 北口 建
