1. HOME
  2. コラム
  3. 情報管理・不正競争
  4. 個人情報漏洩が発覚した際にどのように対応すれば良いか(情報管理・情報漏洩・コンプライアンス)

新宿の顧問弁護士なら弁護士法人岡本(岡本政明法律事務所)

当事務所では、上場企業(東証プライム)からベンチャー企業まで広範囲、かつ、様々な業種の顧問業務をメインとしつつ、様々な事件に対応しております。

アーカイブ一覧はこちら

個人情報漏洩が発覚した際にどのように対応すれば良いか(情報管理・情報漏洩・コンプライアンス)

カテゴリ : 
情報管理・不正競争

 1.  近年、個人情報の漏洩や流出に関する事故が多数報道されています。本年1月24日には、個人情報保護委員会は、NTT西日本の子会社から約900万件の個人情報が流出した問題で、情報管理体制の不備等による個人情報保護法違反があったとして、是正勧告を出しました。
過去には、個人情報保護委員会が、LINE株式会社に対して指導を行ったこともあります。この際、LINE社が委託等した個人データは秘匿性が高く、数量も多いことから、不適切な取扱いが生じた場合の影響が大きいことが指摘されています。

2.  個人情報漏洩は、①自社からの漏洩、②委託先からの漏洩に分けられます。
そして、自社からの漏洩は、ⅰ)従業員等からの漏洩、ⅱ)サイバー攻撃(不正アクセス)による漏洩に分けられます。
従業員等が故意によって漏洩した場合には、営業秘密漏洩の問題になりますので、営業秘密に関するコラムをご覧ください。

3.  個人情報漏洩が発覚した場合は、特に初動が重要です。
まずは、事実調査を行い、証拠を保全することが重要です。特にデジタル証拠については、簡単に抹消されてしまいますので、デジタルフォレンジック業者に保全してもらうことも含めて検討することが重要です(フォレンジック業者は当事務所でもご紹介差し上げることが可能です)。
次に、被害拡大を防止することが必要です。例えば、ECサイトから個人情報が漏洩した場合、問題となったECサイトを閉鎖しておかないと更なる被害が生じかねません。
クレジットカード情報が漏洩した場合、クレジットカード業界のセキュリティ基準であるPCI DSSPayment Card Industry Data Security Standard)に関する報告書を作成してもらう必要がありますが、一般人には分かりづらい記載になっていることが少なくないので、法的にどのように読めばよいのかについて、弁護士に相談したほうが良いと思われます。場合によっては、弁護士同行の上、報告書を作成した業者に説明を求めることをしても良いと思います。
なお、個人情報漏洩保険に加入している場合には、保険会社に連絡して保険の活用を検討することが重要です。

4.  個人情報漏洩(漏洩の恐れを含む)が生じた場合、下記の要件に該当する場合には、個人情報保護委員会への報告を行う必要があります。

要配慮個人情報が含まれる個人データの漏洩、滅失若しくは毀損が発生し、又は発生したおそれがある事態
⇒例えば、従業員の健康診断情報が漏洩した場合

不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
⇒例えば、ECサイトからクレジットカード番号を含む個人データが漏洩した場合(クレジットカード番号の下4桁のみとその有効期限の組合せの漏洩の場合は除く)

不正の目的をもって行われたおそれがある個人データの漏洩等が発生し、又は発生したおそれがある事態
⇒サイバー攻撃により個人情報が漏洩した場合

個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

5.  上記要件に当てはまる場合、漏洩等が発生した恐れのある個人データを取り扱う事業者は、発覚後、概ね3~5日以内に、個人情報保護委員会に速報する必要があります。
そして、発覚日から30日以内(不正な目的をもって行われた場合にあっては、60日以内)に、個人情報保護委員会に確報(続報)する必要があります。

6.  個人情報保護委員会に報告する事態が生じた場合には、速やかに郵送や電子メール等で本人に通知する必要があります。
但し、ECサイト(オンラインショップ)での個人情報漏洩等の場合、一般消費者に対する通知が困難な場合があります。例えば、保有する個人データの中に本人の連絡先が含まれていない場合や連絡先が古いために通知を行う時点で本人へ連絡できない場合が該当します。
このような場合には、事案の公表を行い、問合せ窓口(前述したコールセンターの設置を含む)を用意してその連絡先を公表し、被害者が自らの個人データが対象となっているか否かを確認できるようにすることが考えられます。被害者との間で損害賠償に関する話し合いを行う必要が生じる可能性もあります。

7.  委託先が個人情報を漏洩させた場合には、委託先に対する損害賠償請求を行うことも検討する必要があります。
この際に重要なことは、委託先に対して損害賠償請求をするのであれば、委託先の責めによる情報漏洩であることを立証しなければならないということです。委託先が情報漏洩をしたという事実だけで損害賠償請求をしても認められるわけではないからです。

8.  当事務所では、個人情報などの情報管理・情報漏洩に関わる多数の事案に関わっています。
個人情報漏洩が生じた場合には、判断を誤らないことが重要ですので、早目に当事務所にご相談頂くのが良いと思います。
                     
                                                      以 上

お問い合わせ

お電話でのお問い合わせ:03-3341-1591

メールでのお問い合わせ:ご質問・お問い合わせの方はこちら

  • 閲覧 (4483)