過大な費用負担を避けたい!個人情報を漏洩してしまった会社の有効な対応策とは?

個人情報漏洩

平成15年に個人情報保護法が成立し、その後、年々、個人情報についての権利意識が高まっています。企業が個人情報の漏洩事故を起こして、ニュースとして報道されることも増えてきました。平成26年だけでも、ベネッセコーポレーション、JAL、三菱東京UFJニコスなどの個人情報漏洩事故が大きく報道されました。

では、企業が扱う個人情報を漏洩してしまった場合、企業としてどのような対応をすればよいでしょうか?
最近の個人情報漏洩の事件では、企業側がお詫びの意味で商品券などを配布するケースが増えています。
たとえば、ベネッセコーポレーションの個人情報漏洩事件では、ベネッセコーポレーションが被害者に500円分の電子マネーギフトを配り謝罪しました。

しかし、このような対応は莫大な費用が掛かるため、どの企業でも同様の対応ができるわけではありません。今回は、中小企業において個人情報漏洩事件が起こってしまったときに、過大な経済的負担とならないように「個人情報を漏洩してしまった会社の有効な対応策」についてご説明したいと思います。

 

今回の記事で書かれている要点(目次)

●個人情報漏洩をした際の有効な対応策をとるための基本的な考え方。
●【対応策1】被害者への連絡は必要か?
●【対応策2】監督官庁への報告は必要か?
●【対応策3】被害者への商品券の配布について。
●【対応策4】被害者から慰謝料の請求があった場合の有効な対応策。

 

個人情報漏洩をした際の有効な対応策をとるための基本的な考え方。

個人情報漏洩をしてしまった際の有効な対応策を検討するにあたり、もっとも重要かつ基本的な考え方は、「情報漏洩による二次被害を防ぐ」ということです。

独立行政法人情報処理推進機構セキュリティセンターが公表している「情報漏洩発生時の対応ポイント集 ※1」には、情報漏洩後に対応を行う最大の目的は、「情報漏洩による直接的・間接的被害を最小限に抑える」ことにあるとされています。このように、個人情報を漏洩してしまった時の対応として一番重要なことは「被害を最小限に抑える」こと、より端的にいえば、「二次被害を防ぐ」ことです。

「二次被害」とは、漏洩した個人情報が、それを入手した者によって、犯罪や迷惑行為に利用されることをいいます。

たとえば、平成14年に起こったエステティック大手のTBC グループ株式会社の個人情報漏洩事件では、「氏名・住所・電話番号・スリーサイズ・脱毛の悩み」などの情報がインターネット上で公開されてしまい、その結果、被害者に迷惑メールやダイレクトメールが送られたり、いたずら電話がかけられたという「二次被害」がありました。

この場合、すぐにインターネット上で掲載されている情報を削除して第三者の目に触れないようにすることが、「二次被害を防ぐ」ために必要なことであり、情報漏洩事件の対応として最優先事項です。「二次被害」を起こさないために取るべき対応は、情報漏洩の原因や漏洩した情報の種類によって、臨機応変に検討する必要があります。

【二次被害を起こさないために取るべき対応の具体例】

(1)顧客の個人情報を漏洩し、インターネット上に顧客の個人情報が公開されてしまった場合

インターネット上に公開された個人情報がいやがらせに使われたり、振り込め詐欺などの犯罪に利用される二次被害が予想されます。このような二次被害を防ぐことが最優先事項になります。多くのケースでは、個人情報が掲載されたウェブサイトのサーバ管理者に通報することにより、インターネット上に公開された個人情報の削除が可能です。削除の請求は弁護士から行うことが有効ですので、弁護士に依頼し、早急に個人情報が削除されるように対応しましょう。

(2)自社で運営しているECサイトのIDやパスワードが漏洩した場合

IDやパスワードの情報を入手した者がECサイトに不正にログインすることにより、顧客の氏名や住所、購入歴などの個人情報が漏洩する二次被害が起こる危険があります。このような二次被害を防ぐために、早急に新たなログインを停止したうえで、顧客に対して、IDやパスワードの変更を依頼しましょう。

また、顧客が他社のウェブサービスでも同じIDやパスワードを使用している可能性がありますので、顧客に他社で同じIDやパスワードを使用している場合はその変更をしていただくことも依頼しましょう。

(3)自社のウェブサイトの脆弱性が原因で個人情報が漏洩した場合

この場合も、漏洩した個人情報がいやがらせに使われたり、詐欺などの犯罪に利用される二次被害が予想されます。二次被害を防ぐために、ウェブサイトの公開を停止したうえで、開発会社に依頼して脆弱性を除去することが最優先事項です。

(4)自社で運営しているECサイトから購入者のクレジットカード情報が漏洩した場合

この場合、クレジットカードが情報を入手した者によって不正に利用される二次被害が予想されます。二次被害を防ぐために、クレジットカード会社に連絡してクレジットカードの利用をとめる必要があります。

個人情報漏洩が起こった場合、金銭的な補償の問題に気を取られがちですが、まずは、上記のように二次被害を防止するための緊急措置に全力をあげなければなりません。

●参考資料●
※1:独立行政法人情報処理推進機構セキュリティセンターが公表している「情報漏洩発生時の対応ポイント集」はこちら

 

【対応策1】被害者への連絡は必要か?

ここからは、個人情報を漏洩してしまった後の有効な対応策として、具体的な方法をご説明いたします。
まず最初に、二次被害を防ぐための緊急措置と並行して「被害者への連絡」を行います。

個人情報を漏洩してしまった被害者への連絡は、必ず必要です。被害者への連絡をすることによって、被害者が自衛の手段をとることができるからです。前出の「情報漏洩発生時の対応ポイント集」でも、「漏洩した個人情報の本人については、特別の理由がない限り通知を行わなければならない。」とされています。

被害者に連絡すべき事項は、以下の通りです。

【被害者への連絡事項】

●お詫びの文言
●個人情報漏洩の発生日時
●個人情報漏洩が発覚した日時
●漏洩した個人情報の内容
●情報漏洩の原因
●現在の企業側の対応状況
●被害者に依頼する内容
●問い合わせ窓口

このうち「被害者に依頼する内容」については、たとえば以下のような内容になります。

(1)ECサイトのIDやパスワードが漏洩した場合

IDやパスワードの変更を依頼し、同じパスワードを他社のウェブサービスでも使用している場合はその変更も依頼しましょう。

(2)クレジットカード情報が漏洩した場合

情報漏洩したクレジットカードの不正利用を防ぐために、クレジットカード番号の変更手続きを依頼する必要があります。

【被害者への連絡の時期について】

被害者への連絡については、二次被害を防止するためにも、情報漏洩を発見したらできる限り早く被害者への連絡を行う必要があります。もちろん、被害者に連絡することにより、お叱りやクレームを受けることが予想されますが、それでも連絡しなければなりません。また、すべての被害者と連絡がとれない場合には、企業のウェブサイトで情報漏洩事件の発生について公表することが必要です。

前出のTBCグループ株式会社の個人情報漏洩事件では、漏洩が発覚した翌日にホームページ上に漏洩の発生を公表して、法律事務所内に被害対策室を設置しています。さらに、漏洩発覚の5日後に被害者に対してメールでの連絡を行っています。

このように、被害者への連絡すべき内容と合わせて、スピードある対応も必要になることを把握しておきましょう。

 

【対応策2】監督官庁への報告は必要か?

次に被害者への連絡が終われば、「監督官庁への報告」が必要です。個人情報が漏洩してしまった場合は、監督官庁への報告を行なわなければなりません。

具体的な報告先は、会社の事業内容によって異なります。

●電気通信分野 → 総務省
●農林水産分野 → 農林水産省
●金融分野 → 金融庁
●特定の監督官庁がない場合 → 経済産業省

また、以下のような場合は、警察にも届け出が必要です。

●第三者による不正アクセスにより、情報が漏洩した場合
●従業員の内部犯行により、故意に個人情報が持ち出され、名簿会社に売却されるなどした場合

監督官庁への報告をすると、どのような処分がされるか心配になります。

個人情報保護法では、監督官庁は、個人情報を漏洩した事業者に対して、是正措置をとることを勧告する処分を行うことができることが定められています。しかし、平成25年度に経済産業省に報告があった個人情報漏洩事件の件数は366件ですが、これに対して経済産業省が勧告を行ったものはありませんでした。
平成26年度に起こったベネッセコーポレーションの個人情報漏洩事件では勧告がされましたが、このような処分がされるケースは全体からみるとごくわずかです。よほど大規模な漏洩事件でない限り、行政処分を受けることはないと考えることができます。

むしろ、監督官庁への報告をできるかぎり早く行うことによって、被害者にも監督官庁に報告したことを伝えることができ、会社として適切な対応をしていることをアピールすることができます。

そのため、個人情報漏洩があったときは、監督官庁への報告を迅速に行うことが対応のポイントになります。

 

 【対応策3】被害者への商品券の配布について。

一般的に個人情報漏洩事件が発生した際、商品券などが被害者へ提供されるケースがよくあります。では被害者への商品券の配布は必要でしょうか?

結論から言えば、必要不可欠ではありません。

冒頭で記載した、大企業の情報漏洩の事故のケースでは、商品券やクオカードが配布されることが多いです。
過去の事例では、以下のようになっています。

●平成15年ファミリーマート/1,000円のクオカード
●平成16年ソフトバンクBB(Yahoo! BB)/500円の商品券
●平成17年オリエンタルランド/500円の商品券
●平成21年 三菱UFJ証券/10,000円のギフト券
●平成21年アリコジャパン/10,000円の商品券
●平成26年ベネッセコーポレーション/500円分の電子マネーギフト

しかし、このような商品券の配布はあくまで謝罪の意思を示すための社会的な礼儀としてされていることであり、商品券の配布が必要不可欠ではありません。企業の経済的な負担を考慮して、現実的に商品券の配布までできない場合は、被害者への説明をきちんと行うことで謝罪の意思を伝えることや、二次被害を防いで被害者への迷惑を最小限にとどめることを優先するべきです。少額の商品券を配布することで、被害者が自分の個人情報の問題がわずかなものとして扱われたと感じ、逆にクレームを招くこともあります。

商品券の配布は、必ずしも良い方法とはいえませんので慎重に検討することが必要です。

 

【対応策4】被害者から慰謝料の請求があった場合の有効な対応策。

情報漏洩があった場合に、一部の被害者からは慰謝料の支払いなど金銭的な要求を受けることがあります。しかし、すべての被害者に同様の対応をとるべきであり、慰謝料の支払いについては断らなければなりません。

被害者が慰謝料の支払いを求めて訴訟を起こすケースとして、過去の判例をご紹介します。

●Yahoo! BBの事件で一人当たり5,000円,
●TBC グループ株式会社の事件では一人当たり22,000円~35,000円

の賠償が命じられています。

しかし、上記の判決を受けた企業もすべての被害者に対して上記の慰謝料を支払ったわけではなく、あくまで訴訟で請求した被害者に対して支払ったにすぎません。
また、TBCグループ株式会社の事件の判決では、訴訟提起前に被害者から慰謝料の支払いを求められてこれを拒絶したTBCの対応について、「(被害者に)慰謝料を増額させるほどの不快感を与えたものとは認め難い。」としています。さらに、この事件では、一部の被害者からは、治療費や休業損害の請求もありましたが、裁判所は請求を認めませんでした。

このようなことから、一部の被害者から慰謝料等の金銭請求があった場合は、過大な費用負担を避けるためにも「あらためてお詫びしたうえで慰謝料の支払いはしていないことを説明してお断りする」という方針をとることが、有効かつ現実的な対応策となります。

 

まとめ

今回は、中小企業が個人情報の漏洩事故を起こしてしまった場合の有効な対応策についてご説明いたしました。自社で個人情報の漏洩事故を起こしてしまった際は、まずは「二次被害を防ぐことを最重要の目標として対応しなければならない」ことをご理解いただけたと思います。

また、被害者への連絡、監督官庁への報告についても、正しい方法でスピードある対応を行わなければなりません。
一方で、商品券の配布や慰謝料請求への対応については、必ず行わなければならないものではありません。

このように「本当に重要な点」と「そうではない点」を把握して対応していく必要があり、これが過大な費用負担を回避する手段にもつながりますので、企業経営者の方は、是非、チェックしておきましょう。

個人情報の漏洩事件については、弁護士による対応も正しい方法とスピード対応の秘訣になりますので、弁護士への相談も忘れてはいけません。咲くやこの花事務所でも、昨今、IT関連をはじめとする個人情報漏洩事故の相談が増えてきております。お困りの企業様は、個人情報漏洩問題に強い弁護士にご相談下さい。

企業法務におけるお悩みは、企業法務に強い弁護士へ。「咲くやこの花法律事務所」へご相談下さい。

企業法務に役立つ無料のメールマガジン「咲くや企業法務.NET通信」

同じカテゴリの最新記事

弁護士が教える!利用規約の正しい作成方法とおさえておくべき注意点について
企業法務におけるお悩みは、企業法務に強い弁護士へ。「咲くやこの花法律事務所」へご相談下さい。
企業法務に役立つ無料のメールマガジン「咲くや企業法務.NET通信」