個人情報漏えい発生時の対応

投稿日:2024年12月2日

1 個人情報漏えい時の三段階の対応

 個人情報漏えいが発生した場合に必要な対応を、「初期対応」「二次対応」「事後対応」の3つのフェーズで考えると分かりやすいと言えます。

 「初期対応」というのは、主に、事実調査及び被害拡大防止措置です。感染原因と経緯をできる限り特定し、被害が拡大しないように、感染している可能性のあるPCを隔離したり、システムを停止させたりすることです。

 「二次対応」というのは、主に、詳細な調査と併せた関係各所への通知・報告、公表、対策の検討です。特に、個人情報保護法の関係では、最近の改正で「個人情報保護委員会への報告」「本人(情報の保有者である個人)への通知」が義務付けされています。

 「事後対応」というのは、再発防止策の実施や詳細な調査結果の公表、謝罪と賠償です。社内の情報セキュリティ体制の変更やアップデートをし、社会的信頼回復に努めるという意味で、今回の情報漏えいの原因、今後の対策等を取りまとめ公表します。

2 個人情報漏えいによるリスク

 サイバー攻撃の事案に限らず、仮に、会社の何らかの過失によって情報漏えいが発生した場合、会社は損害賠償責任を負うことになります。そして、具体的にどの程度の賠償をすべきかは、漏えいの経緯や情報の性質によって異なります。

 例えば、住民票上のデータが漏えいした事案では、一人につき1万円の賠償が認められたケースがあったり、エステ事業をしている会社が顧客の氏名、住所、電話番号、メールアドレスのほかサービス利用時のアンケートの内容等が漏えいした事案では、一人につき2~3万円の賠償が認められたケースもあります。一人あたり2万円の賠償をするとして、その件数が1万人分であれば、2億円のコストになりますし、情報漏えいの規模や内容によっては、相当多額の賠償リスクを覚悟しなければなりません。

 また、情報保有者への賠償以外にも、原因調査、データ復旧、サーバーやPCの入れ替え費用、セキュリティ体制の再構築等のコストがかかってきますし、社会的信用の低下などによる営業上の損害も発生し得るところです。

3 まとめ

 このように、個人情報漏えいのリスクは決して小さくありません。また、個人情報漏えいの原因の約50%が、「記録媒体の紛失や置き忘れ」や「誤操作」によって発生しており、サイバー攻撃は約20%です。

 最新のセキュリティを導入するだけでなく、人為的ミスによる漏えいを防ぐために、適切なアクセス権限の設定、厳格なデータ持ち出しルールの策定、実行も必要な場合もあります。社員のデータセキュリティに関する危機意識を高める教育も効果的です。あるいはサイバー攻撃等にかかる保険の契約を検討するようにしましょう。

                                以上