経営コンサルタントコラム　2013年10月2日号

さて、「個人情報とは何か、それを保護すべき事業者が誰か」が分かったところで、今回は「情報が漏えいした場合どう対応すれば良いか」を見ていきたいと思います。

対応方法は所轄官庁のガイドラインに例示として記載があります。いろいろな業界団体で別途定めているものもあるでしょうが、基本形は役所のガイドラインなのでここを押さえておけば間違いありません。

経産省のガイドラインでは、手法の例示、という形で一定の対応方法が示されています。

ガイドライン記載の内容をそのまま記載しますと、

⑤「事故又は違反への対処」を実践するために講じることが望まれる手法の例示

・以下の(ア)から(カ)までの手順の整備

ただし、書店で誰もが容易に入手できる市販名簿等（事業者において全く加工をしていないもの）を紛失等した場合には、以下の対処をする必要はないものと考えられる。

（ア）事実調査、原因の究明

（イ）影響範囲の特定

（ウ）再発防止策の検討・実施

（エ）影響を受ける可能性のある本人への連絡

自己または違反について本人へ謝罪し、二次被害を防止するために、可能な限り本人へ連絡することが望ましい。ただし、例えば、以下のように、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さいと考えられる場合には、本人への連絡を省略しても構わないものと考えられる。

・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合

・高度な暗号化等の秘匿化が施されている場合（ただし、（オ）に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。）

・漏えい等をした事業者以外では、特定の個人を識別することができない場合（事業者が所有する個人データと照合することによって、はじめて個人データとなる場合。ただし（オ）に定める報告の際、漏えい等をした事業者以外では特定の個人を識別することができないものと判断できる措置内容を具体的に報告すること。）

（オ）主務大臣等への報告

ａ．個人情報取扱事業者が認定個人情報保護団体の対象事業者の場合

認定個人情報保護団体の業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）は、経済産業大臣（主務大臣）への報告に代えて、自己が所属する認定個人情報保護団体に報告を行うことができる。認定個人情報保護団体は、対象事業者の自己又は違反の概況を経済産業省に定期的に報告する。ただし、以下の場合は、経済産業大臣（主務大臣）に、逐次速やかに報告を行うことが望ましい。

・機微にわたる個人データ（（a）思想、信条又は宗教に関する事項、（b）人種、民族、門地、本籍地（所在都道府県に関する情報のみの場合を除く）、身体・精神障害、犯罪歴その他社会的差別の原因となる事項、（c）勤労者の団結権、団体交渉その他団体行動の行為に関する事項、（d）集団示威行為への参加、請願権の行使その他団体行動の行為に関する事項、（e）保健医療又は性生活に関する事項等）を漏えいした場合

・信用情報、クレジットカード番号等を含む個人データが漏えいした場合であって、二次被害が発生する可能性が高い場合

・同一事業者において漏えい等の事故（特に同種事案）が繰り返し発生した場合

・その他認定個人情報保護団体が必要と考える場合

ｂ．個人情報取扱事業者が認定個人情報保護団体の対象事業者でない場合

経済産業大臣（主務大臣）に報告を行う。

ｃ．関係機関への報告

認定個人情報保護団体の対象事業者であるか否かにかかわらず、主務大臣に報告するほか、所属する業界団体等の関係機関に報告を行うことが望ましい。なお、a．及びｂ．いずれの場合も、事業者は次の事例について、認定個人情報保護団体又は主務大臣への報告を月に一回ごとにまとめて実施することができる。

・ファクシミリやメールのご送信（宛名及び送信者名以外に個人情報が含まれていない場合に限る。）。なお、内容物に個人情報が含まれない荷物等の宅配又は郵送を委託したところ、誤配によって宛名に記載された個人データが第三者に開示された場合については、報告する必要はない

（カ）事実関係、再発防止策等公表

二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性が無い場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間等で、当該事案に関する情報が共有されることが望ましい。

・影響を受ける可能性のある本人すべてに連絡がついた場合

・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合

・高度な暗号化等の秘匿化が施されている場合（ただし、（オ）に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。）

・漏えい等をした事業者以外では、特定の個人を識別することができない場合（事業者が所有する個人データと照合することによって、はじめて個人データとなる場合。ただし、（オ）に定める報告の際、漏えい等をした事業者以外では特定の個人を識別することができないものと判断できる措置内容を具体的に報告すること。）

とこんな感じです。

ざくっというと、

①事実調査、原因究明

②影響範囲の特定

③再発防止策の検討実施

④影響を受ける可能性のある本人への連絡

⑤主務大臣、法定個人情報保護団体への報告

⑥事実関係、再発防止策の公表

が必要になる、ということです。

ただし、

紛失等した個人データを第三者に見られることなく速やかに回収した場合等、本人の権利利益が侵害されていないには本人への連絡は不要とされています。

また、

影響を受ける可能性のある本人すべてに連絡がついた場合や前記のように第三者にデータを見られることなく速やかに回収した場合等には公表を省略しても構わない、とされています。

経営にインパクトがあるのは、公表ですから、個人情報保護事業者に該当する事業者さんは、流出や漏えいが判明した時点で、いかにすばやく対応し、連絡をするか、というのがマイナスの影響を最小限にする方策ですね。

情報漏えいの財務的影響は、というと直接的には損害賠償債務、ということになります。

これまでの例からすると、１件当たり数百円～数万円という範囲となっており、余程のデータ流出でもない限り、これにより会社が傾く云々ということにはなりづらいでしょう。

むしろ、信用失墜、会社の信頼、事業への信頼が失われることによる客数減、売上減、が最も恐れなければならない影響ですね。信用はお金で解決できないですから。

普段何気なく行っている事業についても、意外と危険が潜んでいます。

好調な時ほど危険は広く深く潜みがちです。

今回は個人情報保護についてのお話しでしたが、これを機会にぜひ自社の事業リスクを洗い出してみてください。

会社が潰れないためにはどうするか、何をすべきか。

平時の準備が大切です。

池田

次の記事▶ポスト倒産回避の経営術（１）

前の記事◀他人事でない個人情報保護（２）

 会社再生、Ｍ＆Ａ、資金調達他経営コンサルティングのご相談は、

『中小企業経営者と、ともに歩む。』

池田ビジネスコンサルティング