第11回メルマガ記事「個人情報漏洩と企業の損害②」 2017.12.21号
弁護士の内田です。
前回と全く同じことを述べます。
いよいよ年末ですね。
皆様は、「来年の目標」をもう考えているでしょうか。
「売上〇〇万円以上!」「従業員にボーナスを〇ヵ月分支払う!」「〇kg以上痩せる!」「フルマラソンを完走する!」・・・仕事面、プライベート面、いずれにおいても色々な目標設定があるかと思います。
私の目標は、「ゴルフでスコア100を切る!」です。今のスコアはとても公の場で言えるものではありません。
仕事面の目標はないのかよ、と思われてはいけませんので仕事面での目標も言いますと、来年の目標は「弁護士としての限界を見る。」です。
何となく格好良く言いましたが、要は、事件をたくさん受任して、「あ、これ以上の事件処理は無理だ。」と自分の限界を知るということです。
具体的な数値目標もあるのですが、「低い目標ですね。」と思われてもいけませんので言いません。
さて、前置きはこの程度にして、本題である個人情報漏洩対策のお話しに入っていきます。SSLやらTLSやらの技術的なお話しではなく、今回、お話しするのは個人情報保護規程や平時・有事のマニュアル作成・人員整備などのお話です。
前回、個人情報漏洩体制の整備においては、「有事(漏洩時)の具体的なイメージが持てるか」が重要と述べました。
そこで、漏洩発生から事後までを順に追いながら対策を考えてみましょう。
1 事件の端緒
ある日、顧客から一本の電話がかかります。
「知らない会社からダイレクトメールが届いた。引っ越したばかりで、今の住所を教えているのは貴社だけだ。貴社で個人情報が漏洩したのではないか。」
さて、ここで電話を受けた従業員はその後どのような対応をするでしょうか。
「その従業員次第ですね。」
管理部門がこのような回答では駄目です。初動対応が遅れることで個人情報漏洩が拡大し、会社が致命的なダメージを負う危険性があります。
個人情報漏洩に関する情報が入ったら、速やかに担当従業員(小規模の企業であれば役員クラス)にその情報が上がってくるようにしておかなければなりません。
そこで、個人情報保護マニュアルや個人情報管理規程には、個人情報が漏洩していると思われる端緒があった場合には、速やかに担当従業員等に連絡する旨規定しておかなければなりません(勿論、当該マニュアル・規程に則った研修・教育が必要不可欠です。)。
担当従業員等は、最低でも①漏洩したと思われる情報はいつどこで自社に登録したか、②なぜ自社からの漏洩だと考えるのか、③ダイレクトメール等の送付元会社の名称・連絡先、くらいは確認するようにしておきましょう。
また、被害者はお怒りになっていることが多いので、「調査チームを組んで調査し、また結果をご報告します。」というように被害者の訴えを真摯に受け止めている旨の言葉を伝えることも肝心です。
2 事実調査
事実調査の方法は事案によって異なりますが、今回の事案でいえば、上記ヒアリング③に基づき、まずダイレクトメールの送付元会社にどこで個人情報を取得したのか確認するのが第一歩です。
また、上記ヒアリング①に基づき、登録された媒体が紙媒体なのか電子媒体なのか、当該媒体はどのように管理されているのかを確認することになります。電子媒体ということになると、不正アクセスがなかったかログを調査したりすることになりますが、このレベルになると専門業者でない困難な場合が多いでしょう。
紙媒体であれば、当該紙媒体にアクセスした者(又はアクセスした可能性がある者)の洗い出しなどを行います。このとき、そもそも誰も簡単にアクセスできるような管理となっていたのであれば、その時点でかなり不味いということになります。
なお、もし保険に加入しているのであれば、早めに保険会社には連絡を入れておきましょう。
会社の個人情報管理担当者(以下、「担当者」と言います。)は、まずダイレクトメールの送信元会社に誰から自社の顧客情報を取得したのか確認しましたが、個人情報保護を理由に回答を拒否しました。
そこで、担当者は従業員全員に事態の説明と情報の提供を呼びかけました。
そうしたところ、ある従業員から「社外で仕事をしようとしてUSBメモリに顧客の個人情報をコピーして持ち出したが、そのUSBメモリを紛失してしまった。誰かがそれを拾って名簿業者などに売ったのかもしれない。」との報告を受けることができ、今回の漏洩原因としては、従業員が仕事のために顧客情報をコピーしたUSBメモリを紛失し、何者かがそれを拾得して名簿業者に販売したという可能性が濃厚になりました。
このようなことがないようにするためには、平素から個人情報のコピーには上長の許可を得るように個人情報管理規程を作成し、運用を徹底することが必要です。
また、就業規則上、個人情報漏洩の危険が発生した場合には速やかに上長に報告する旨を定め、正直に当該報告をした従業員には懲戒処分を軽減するなどの工夫も必要です。
3 被害拡大防止措置
インターネット経由の外部からの不正アクセスが確認された場合にはLANケーブルを抜いてネットワークからの切り離しを行うなどが必要となりますが、業務上をなるべく停止しないでネットワークからの遮断を行おうとするとやはりITの専門家によるアドヴァイスやサービスが必要になってきます。
従業員が不正に個人情報を取得していたことが判明した場合、当該従業員を出勤停止にするなどして社内に入り込めないようにし、また、刑事告訴も辞さない姿勢で既に取得している個人情報の返還や廃棄を求めることになります。
なお、調査中に、特定の従業員が個人情報を不正に取得して外部に漏洩させている疑いをもった場合には、証拠保全の観点からその時点で当該従業員を出勤停止にすることも十分に検討するべきです。
今回の事件では、もはや紛失USBメモリの所在を把握することは不可能で、個人情報漏洩範囲の拡大を封じる措置を採ることができませんでした。
さて、後は、会社に出来る被害拡大防止措置としてはどのようなことが考えられるでしょうか。
顧客の個人情報を取得した悪意ある業者が顧客に「自社のサービスに登録したのだから金を払え。」などと言って騙してお金を支払わせようとするかもしれません。
会社としては迷うところではありますが、漏洩した個人情報にかかる顧客に対し、「今後、悪意ある業者からメール等で不当な請求があるかもしれないから気をつけるようにしてください。」と伝えておくべきでしょう(後記の④)。
4 個人情報保護委員会等への報告
個人情報保護委員会や自社の監督官庁などに必要に応じて事態の発生を報告し、対応について相談します。
5 初期的通知・公表
上記3の被害拡大防止措置とも関連しますが、インターネット・手紙などを利用して事態の公表・通知を行います。最低限、公表・通知すべき内容は、①謝罪、②現時点で判明している事実関係、③既に講じた被害拡大・情報拡散防止措置、④架空請求等への注意喚起、⑤相談窓口のアナウンスです。
個人情報の漏洩はいわゆる「不祥事」なので、会社としては公表をためらうところもありますが、もし、公表を遅らせて二次被害が出て、その事実がマスコミ等によって明らかにされた場合、社会からは個人情報漏洩を「隠蔽した。」との評価を受け、会社に致命的なレピュテーションリスク(評判リスク)が発生します。
個人情報漏洩に限らず、小さくない不祥事が発生した場合には、明るみに出る前に速やかに上記のような公表を行うのが現在の主流です。
なお、この公表・通知の仕方を誤るとやはり重大なレピュテーションリスクが発生します。不確定な事実をあたかも確定的な事実かのように発表をすることは避けて、「調査中」という公表の仕方に留めるべき場合もありますし、自社も被害者であるというような表現の仕方は慎むべきです。
6 二次的公表・通知等
最終的に原因究明と再発防止策の実施まで終了したら、その内容を改めてインターネット等で公表します。
その他、漏洩被害者に対して500円程度の金券を配布するなどの対応をすることもありますが(訴えられるリスクを軽減する効果があります。)、漏洩件数が多いと費用負担も大きくなり、必ずしも費用に見合った効果が得られるとは限りませんので、ケースバイケースでそのような措置を講じるかどうかを判断します。
さて、いかがだったでしょうか。
個人情報漏洩を発生させないための平時の指導・教育が重要であることはいうまでもありませんが、いくら平時の対策を徹底していても100%安全ということはありません。
有事(個人情報漏洩の端緒があったとき)の際に的確かつ円滑に対応できるように、平素から規程・マニュアルの作り込みとそれに基づく運用・訓練を行っておくことが会社のダメージを最小化するためには必要不可欠です。
Column 法律は抽象的・・・
法律の規定というのは、抽象的で、法律だけ見ても「じゃあ、何をすればいいの?」というのが分かりにくくなっています。
具体的に何をすべきかについては、その抽象的な規定について出された裁判例・判例や監督官庁の出すガイドラインなどを読まないとなかなか分かりません。しかも、裁判例・判例に至っては、事案までよく読まないと具体的な対策まで導けません。
裁判所の言い回しは独特で、慣れていないと読むのに時間がかかります。
このような面倒な作業に時間をかけず、法務に関しては早めに弁護士に相談してしまう方が効率的です。
- メールマガジンバックナンバー
- 第1回メルマガ記事「残業代シリーズ①」 2017.7.27号
- 第2回メルマガ記事「残業代シリーズ②」 2017.8.10号
- 第3回メルマガ記事「残業代シリーズ③」 2017.8.24号
- 第4回メルマガ記事「解雇シリーズ①」 2017.9.14号
- 第5回メルマガ記事「解雇シリーズ②」 2017.9.28号
- 第6回メルマガ記事「企業と保険1」 2017.10.6号
- 第7回メルマガ記事「企業と保険2」 2017.10.24号
- 第8回メルマガ記事「セクハラ・不倫と企業」 2017.11.9号
- 第9回メルマガ記事「セクハラ・不倫と企業2」 2017.12.24号
- 第10回メルマガ記事「個人情報漏洩と企業の損害①」 2017.12.7号
- 第11回メルマガ記事「個人情報漏洩と企業の損害②」 2017.12.21号
- 第12回メルマガ記事「試用期間について」 2018.1.5号
- 第13回メルマガ記事「採用内定について」 2018.1.23号
- 第14回メルマガ記事「債権回収①」 2018.2.8号
- 第15回メルマガ記事「債権回収②」 2018.2.22号
- 第16回メルマガ記事「企業様と交通事故が関連する法的問題①」 2018.3.8号
- 第17回メルマガ記事「企業様と交通事故が関連する法的問題②」 2018.3.22号
- 第18回メルマガ記事「日々業務をする中で」 2018.4.13号
- 第19回メルマガ記事「外国人労働者の雇入れ」
- 第20回メルマガ記事「残業代請求に対する反論①」 2018.5.10号
- 第21回メルマガ記事「残業代請求に対する反論②」 2018.5.24号
- 第22回メルマガ記事「雇用と業務委託(請負)の違いについて」 2018.6.14号
- 第23回メルマガ記事「雇用期間の定めのある契約か否か」 2018.6.28号
- 第24回メルマガ記事「分かりにくい著作権の落とし穴」 2018.7.12号
- 第25回メルマガ記事「社員の給与が差押えされたら…」 2018.7.26号
- 第26回メルマガ記事「会社と労災適用となる交通事故」の関連から「企業コンプライアンス」について」 2018.8.9号
- 第27回メルマガ記事「有給チャンス」 2018.8.23号
- 第28回メルマガ記事「従業員間のトラブルについて」 2018.9.14号
- 第29回メルマガ記事「優良企業は狙われる!?」 2018.10.2号
- 第30回メルマガ記事「有期雇用の活用1」 2018.10.11号
- 第31回メルマガ記事「有期雇用の活用2」 2018.10.25号
- 第32回メルマガ記事「配置転換,出向,転籍について」 2018.11.8号
- 第33回メルマガ記事「配置転換,出向,転籍について②」 2018.11.23号
- 第34回メルマガ記事「事業承継その1」 2018.12.14号
- 第35回メルマガ記事「事業承継その2」 2018.12.28号