もしも個人情報漏洩が発覚した場合の対処方法
もしも、会社の保有する個人情報漏洩が発生してしまった場合には、どのように対処を行えば良いのでしょうか? 個人情報漏洩の要因としては、会社の個人情報の保護の体制・姿勢に問題がある場合が少なくありません。 近年、相次ぐ情報流出事件や個人情報保護法の改正により、個人情報を保有する事業者に対しての規制が強化されています。ここでは、個人情報漏洩が発覚した場合の対処方法についてご紹介いたします。
そもそも個人情報とはなんでしょうか
わが国における法的意味における個人情報とは、「個人を特定しうる情報」といった意味で用いられており、「個人識別型」を採用しています。識別可能情報ともいいますが、例えば氏名、生年月日の記述等により、特定の個人を識別することができるものや、DNAや指紋、および免許証番号やマイナンバーなど(「個人識別符号」:個人情報保護法2条参照)がこれにあたります。 ただし、個人情報とは「生きている個人」を識別しうる情報であるため、既に死亡している個人や、会社などの法人の所在や電話番号などの情報は、個人情報には該当しません(法人情報であっても、法人の役員に関する情報などは特定の個人に関する内容は、個人情報に該当する場合があります)。 他方で個人情報の考え方として、個人の権利・利益侵害のおそれは要求されておらず、端的にその個人のプライバシーの保護の観点から、個人情報かどうかが判断されています。
個人情報漏洩の発生原因は何でしょうか
少し古い情報ですが、2018年6月に日本ネットワークセキュリティ協会より発表された内容によると、2017年の個人情報流出事件は386件、漏洩人数は520万人弱となっており、その被害総額は、およそ1914億円と莫大な金額となっております。 その個人情報漏洩の発生原因を見ますと、以下の5つが大きな要因(全要因のうちの80%弱)となっています。 1. 誤操作 25.1% 2. 紛失・置き忘れ 21.8% 3. 不正アクセス 17.4% 4. 管理ミス 13.0% 5. 不正な情報持ち出し 6.5% 上記のとおり、不正アクセスを除いた人的な管理上の問題が、個人情報流出の60%を占めていることがわかります。むしろ、技術的な問題での流出は、流出原因のうちの全体の20%程度となっております。 このような結果から、人的要因が個人情報の流出の原因となるのであれば、人的な教育が最も有効な対応策といえるでしょう。
会社が対策を行うべき個人情報漏洩の予防と対策とは?
前項でも説明したとおり、個人情報漏洩の原因の60%は人災といえますので、まずは社内教育を徹底すべきでしょう。また、その他の原因は技術的な問題であり、その大半は不正アクセスによるものであることから、情報へのアクセス権限の管理やパスワードの随時更新など行うことで、不正アクセスのリスクを低減できます。また、セキュリティソフトを常に最新の状態にしておくなども、有効と考えられます。 また、個人情報漏洩の直接原因の60%が人的要因であるばかりか、不正アクセスの原因となる、パスワードなどのアクセス権限の管理などの間接的な原因も人的要素が強い部分です。 これらを防ぐためにも社内での人的な教育はもとより、社外のITパスポート(情報処理推進機構)などの国家試験等を通じ、教育を徹底するなどの対策が有効となります(受験料はわずかに5700円のみです。)。また、個人情報に限らず、社内における情報管理体制を構築しておくのも対策の1つです。
個人情報漏洩が発覚した場合のリスクとは?
個人情報漏洩が発覚した場合のリスクは、法的には、例えば、「個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。」(個人情報保護法83条)といった規定があります。 個人情報漏洩が発覚した場合のリスクとしては、大きく法的リスクと、レピュテーションリスクに分けて考えることができます。 <法的リスク> ・個人情報保護法、民法の一般不法行為責任、および会社の契約義務違反による債務不履行責任上のリスク <レピュテ―ションリスク> ・企業の信頼の失墜、顧客の離反のリスク ・上場などを目指す場合の上場審査における消極的評価を受けるリスク ・企業価値の相対的低下による資金調達上の障害となるリスク
情報漏洩が発覚した場合の対処とは?
情報漏洩が発覚した場合には、「情報漏洩による直接的・間接的被害を最小限に抑える」ことが主たる対処の目的となります。そのための対処は下記のとおりです。 1. 被害拡大法事・二次被害防止・再発防止 2. 事実確認と情報の一元管理 3. 透明性・開示の原則 4. チームワーク とくに、初動での対応を誤ると、その後の被害拡大や企業の姿勢として大きく評価を下げる結果となるため注意が必要です。個人情報流出事実など被害状況の報告の透明性や情報開示の徹底などは、会社として心掛けたいものです。
まとめ
個人情報漏洩の危険は、人間が業務を行っている以上、どの会社でも起こりうるものです。ここまで説明してきたとおり、日頃より、社内教育の徹底、社外研修の活用、社内情報管理体制の構築が流出予防のうえでは最も有効です。また、仮に個人情報が漏洩してしまうようなことがあっても、このような日頃の備えがあれば、その被害を最小限におさえることができます。備えあれば憂いなしとは正に、個人情報漏洩の問題にこそ言えそうです。
