文字サイズ

お知らせnews

令和2年改正個人情報保護法の施行に向けて(個人データ漏洩等発生時の実務対応)

近頃、顧問会社より情報漏洩に関するご相談をいただくことが多くなっています。ひとたび情報漏洩を起こしてしまうと、組織や企業の信頼を大きく失墜させ、場合によってはその存続を危うくさせるような事態にも発展してしまいます。特に近年多く発生しているような大規模な個人情報や顧客情報の流出は、TVや新聞などのマスメディアにも大きく取り上げられるため、一般国民に広く知れ渡ることとなりダメージが大きくなります。

万が一に情報漏洩が起こってしまったらどうすればよいのでしょうか。

最近の個人情報漏洩の事件では、企業側がお詫びの意味で商品券などを配布するケースが増えています。

たとえば、ベネッセコーポレーションの個人情報漏洩事件では、ベネッセコーポレーションが本人に500円分の電子マネーギフトを配り謝罪しました。

しかし、このような対応は莫大な費用が掛かるため、どの企業でも同様の対応ができるわけではありません。ここではその万が一の事態が発生してしまった際の対応について考えてみたいと思います。 

1 令和2年改正個人情報保護法の施行

令和3519日、令和2年改正個人情報保護法(令和2612日公布、令和 4 4 1日施行[一部を除く]。以下「改正個情法」といいます。)に関する各種ガイドラインを改正する告示(案)が公示され、パブリックコメント手続に付されました。最終的には、パブリックコメント手続において提出される意見を踏まえて内容が確定することにはなりますが、その草案となるガイドライン(案)の検討は、改正個情法対応の準備を進めていく上でも、実務上有意義といえます。

 

2 個人情報漏洩をした際の有効な対応策をとるための基本的な考え方

個人情報漏洩をしてしまった際の有効な対応策を検討するにあたり、もっとも重要かつ基本的な考え方は、「情報漏洩による二次被害を防ぐ」ということです。

ここでいう「二次被害」とは、漏洩した個人情報が、それを入手した者によって、犯罪や迷惑行為に利用されることをいいます。

たとえば、平成14年に起こったエステティック大手のTBC グループ株式会社の個人情報漏洩事件では、「氏名・住所・電話番号・スリーサイズ・脱毛の悩み」などの情報がインターネット上で公開されてしまい、その結果、本人に迷惑メールやダイレクトメールが送られたり、いたずら電話がかけられたという「二次被害」がありました。

この場合、すぐにインターネット上で掲載されている情報を削除して第三者の目に触れないようにすることが、「二次被害を防ぐ」ために必要なことであり、情報漏洩事件の対応として最優先事項です。

「二次被害」を起こさないために取るべき対応は、情報漏洩の原因や漏洩した情報の種類によって、臨機応変に検討する必要があります。

 

3 具体的な対応方法

(1) 事業者内部における報告及び被害の拡大防止

責任ある立場の者に直ちに報告するとともに、漏洩等事案による被害が発覚時より

も拡大しないよう必要な措置を講ずる必要があります。

① 顧客の個人情報を漏洩し、インターネット上に顧客の個人情報が公開されてしまった場合

インターネット上に公開された個人情報がいやがらせに使われたり、振り込め詐欺などの犯罪に利用される二次被害が予想されます。

このような二次被害を防ぐことが最優先事項になります。

多くのケースでは、個人情報が掲載されたウェブサイトのサーバ管理者に通報することにより、インターネット上に公開された個人情報の削除が可能です。

② 自社で運営しているECサイトのIDやパスワードが漏洩した場合

IDやパスワードの情報を入手した者がECサイトに不正にログインすることにより、顧客の氏名や住所、購入歴などの個人情報が漏洩する二次被害が起こる危険があります。

このような二次被害を防ぐために、早急に新たなログインを停止したうえで、顧客に対して、IDやパスワードの変更を依頼しましょう。

また、顧客が他社のウェブサービスでも同じIDやパスワードを使用している可能性がありますので、顧客に他社で同じIDやパスワードを使用している場合はその変更をしていただくことも依頼しましょう。

③ 自社のウェブサイトの脆弱性が原因で個人情報が漏洩した場合

この場合も、漏洩した個人情報がいやがらせに使われたり、詐欺などの犯罪に利用される二次被害が予想されます。

二次被害を防ぐために、ウェブサイトの公開を停止したうえで、開発会社に依頼して脆弱性を除去することが最優先事項です。

④ 自社で運営しているECサイトから購入者のクレジットカード情報が漏洩した場合

この場合、クレジットカードが情報を入手した者によって不正に利用される二次被害が予想されます。

二次被害を防ぐために、クレジットカード会社に連絡してクレジットカードの利用をとめる必要があります。

個人情報漏洩が起こった場合、金銭的な補償の問題に気を取られがちですが、まずは、上記のように二次被害を防止するための緊急措置に全力をあげなければなりません。

 

(2) 事実関係の調査及び原因の究明

漏洩等事案の事実関係の調査及び原因の究明に必要な措置を講ずる必要があります。具体的には、事実関係を5W1Hで調査と整理をすることをおすすめいたします。

・当事者は誰か?

・何が、被害にあったのか?

・漏洩等した情報は何か?

・どこで発生したか?

・どうして漏洩等の事故が発生したか?

・漏洩等の事故が発覚した理由は何なのか?

 

(3) 影響範囲の特定

上記(2)で把握した事実関係による影響の範囲を特定する必要があります。漏洩等した情報の範囲、原因、被害の状況等を明らかにしましょう。具体的には、漏洩等した情報区分、漏洩した情報の保護策の実施の有無について調査する必要があります。

 

(4) 再発防止策の検討及び実施

上記(2)の結果を踏まえ、漏洩等事案の再発防止策の検討及び実施に必要な措置を速やかに講じましょう。

 

(5) 影響を受ける可能性のある本人への連絡等

漏洩等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くことが重要です。

まず、個人情報を漏洩してしまった本人への連絡は必ず行うようにしましょう。本人への連絡をすることによって、本人が自衛の手段をとることができるからです。本人に連絡すべき事項は、以下の通りです。

・謝罪の文言

・個人情報漏洩の発生日時

・個人情報漏洩が発覚した日時

・漏洩した個人情報の内容

・情報漏洩の原因

・現在の企業側の対応状況

・本人に依頼する内容

・問い合わせ窓口

 

このうち「本人に依頼する内容」については、たとえば以下のような内容になります。

ECサイトのIDやパスワードが漏洩した場合には、IDやパスワードの変更を依頼し、同じパスワードを他社のウェブサービスでも使用している場合はその変更も依頼しましょう。

また、クレジットカード情報が漏洩した場合には、情報漏洩したクレジットカードの不正利用を防ぐために、クレジットカード番号の変更手続きを依頼する必要があります。

 

(6) 事実関係及び再発防止策等の公表

漏洩等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、

事実関係及び再発防止策等について、速やかに公表することが必要です。

 

4 漏洩等報告義務等の法改正

(1)漏洩等報告義務等の法的義務化

個人データの漏洩等又はそのおそれのある事案が発覚した場合、現行法上、①個人情報保護委員会(以下「個情委」といいます。)に対する報告は努力義務とされており3本人に対する連絡は「講ずることが望ましい」措置の一つという位置づけでした。これに対し、改正個情法においては、漏洩等事案のうち「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」については、①個情委に対する報告(改正個情法第22条の21項本文)及び本人に対する通知(改正個情法第22条の22項)がいずれも法的義務とされました。

 

(2)個情委への報告・本人通知が必要となる場合

個情委に対する報告及び本人に対する通知が必要となるのは、「個人データの漏洩、滅失、棄損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」とされており(改正個情法第22条の21項)、具体的には、次の4類型のいずれかの個人データの漏洩等が発生し、又は発生したおそれがある事態がこれに該当するとされています(改正個情法施行規則第6条の21号ないし第4号)。

 

①要配慮個人情報の漏洩等

例:従業員の健康診断等の結果を含む個人データが漏洩した場合

②不正利用により財産的被害が生じるおそれがある漏洩等

例:EC サイトからクレジットカード番号を含む個人データが漏洩した場合

③不正の目的をもって行われた漏洩等

例:ランサムウェア等により個人データが暗号化され、復元できなくなった場合

④個人データの本人の数が1,000人を超える漏洩等

例:システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が 1,000 人を超える場合

 

また、ガイドライン案においては、本人の数が確定できない漏洩等の場合にも、漏洩等が発生したおそれがある(その時点で判明している事実関係からして、漏洩等が疑われるものの確証がないような)個人データに係る本人の数も含めて最大1,000人を超える場合には、第4類型に該当するとされていますので、漏洩等が確実なものだけでなく、漏洩等のおそれがある個人データも含めて広く事実関係を調査する必要がある点に注意が必要です。

その他、上記のいずれの類型においても、漏洩等事案が生じた個人データについて、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には個情委に対する報告及び本人に対する通知の義務は発生しないとされています。

5 情報漏洩に関する損害賠償請求

次に、本人から慰謝料の請求があった場合の有効な対応策について説明していきます。

企業が個人情報を漏洩させてしまう行為は、「不法行為」にあたります。「不法行為」とは、他人の権利や利益を違法に侵害する行為のことをいいます。仮に、不法行為によって誰かに損害を与えてしまったとしたら、その損害を賠償する責任が発生します。これを不法行為に基づく「損害賠償責任」といいます。

本人への損害賠償額については、過去の事例からある程度の「相場」が形成されています。この「相場」は、漏洩した個人情報がどの程度デリケートな情報であったか、を基準に判断されていて、その情報が、人に知られたくないものであるほど損害賠償額も高くなる傾向にあります。

 

たとえば、きわめて基本的な個人情報(住所・氏名・年齢・性別など)が漏洩した場合には、損害賠償額はわりと低く算定されます。

まず、京都府宇治市住民基本台帳データ漏洩事件では、市民の個人情報(住所・氏名・性別・生年月日など)が漏洩しましたが、損害賠償額は1人あたり1万5,000円(慰謝料1万円+弁護士費用5,000円)と判断されました。基本4情報に基づいた慰謝料の算定が初めてなされた裁判のため、その後の漏洩事件の慰謝料額の参考にされています。

 

次に、YahooBB個人情報漏洩事件の損害賠償請求訴訟では、1人につき6,000円(慰謝料5,000円+弁護士費用1,000円、すでに送付した金券500円分を含む)の損害賠償額が認定されています。漏洩した個人情報が、「住所・氏名・電話番号・申込日・メールアドレス」だったため、宇治市の事件よりは安く算定されたとみられます。

このように、漏洩した個人情報が基本的なものである場合は、大体5,000円~15,000円が損害賠償額の相場となります。

 

一方、漏洩した個人情報が秘匿性の高いものであったり、デリケートなものである場合には、損害賠償額は高めに算定されます。

TBC個人情報漏洩事件では、住所・氏名・電話番号などの基本情報に加え、エステのコース名やスリーサイズなど、人に知られたくない情報が含まれていました。そのため、後に提起された損害賠償請求訴訟では、賠償額が過去最高の3万5,000円(慰謝料3万円+弁護士費用5,000円)となりました。

 

このように、漏洩した個人情報に、基本的なものだけではなくプライベートなものまで含まれている場合には、企業側の責任も重くなると判断される傾向にあります。

 

6 解決金の支払い

本人が裁判で損害賠償請求する場合とは別に、企業側がお詫びとして自主的に金券などを配る場合があります。

基本的には、個人情報が流出してしまったすべてのユーザーに対してお詫び(謝罪金)が配布されることになります。金券や電子マネー、ポイントなどが配布されることが多いようです。

大企業の情報漏洩の事故のケースでは、商品券やクオカードが配布されることがよく見受けられます。オリエンタル法律事務所にて確認できた過去の事例は以下のとおりです。

・平成15年ファミリーマート/1,000円のクオカード

・平成16年ソフトバンクBBYahoo! BB)/500円の商品券

・平成17年オリエンタルランド/500円の商品券

・平成21年 三菱UFJ証券/10,000円のギフト券

・平成21年アリコジャパン/10,000円の商品券

・平成26年ベネッセコーポレーション/500円分の電子マネーギフト

 

しかし、このような商品券の配布はあくまで謝罪の意思を示すための社会的な礼儀としてされていることであり、商品券の配布が必要不可欠ではありません。

企業の経済的な負担を考慮して、現実的に商品券の配布までできない場合は、本人への説明をきちんと行うことで謝罪の意思を伝えることや、二次被害を防いで本人への迷惑を最小限にとどめることを優先するべきです。

少額の商品券を配布することで、本人が自分の個人情報の問題がわずかなものとして扱われたと感じ、逆にクレームを招くこともあります。

商品券の配布は、必ずしも良い方法とはいえませんので慎重に検討することが必要です。

 

7 まとめ

今回は、企業が個人情報の漏洩事故を起こしてしまった場合の有効な対応策についてご説明いたしました。

自社で個人情報の漏洩事故を起こしてしまった際は、まずは「二次被害を防ぐことを最重要の目標として対応しなければならない」ことをご理解いただけたと思います。

また、本人への連絡、監督官庁への報告についても、正しい方法でスピードある対応を行わなければなりません。一方で、商品券の配布や慰謝料請求への対応については、必ず行わなければならないものではありません。

個人情報の漏洩事件については、弁護士による対応も正しい方法とスピード対応の秘訣になりますので、弁護士への相談も忘れてはいけません。

お困りの企業様は、個人情報漏洩問題に強いオリエンタル法律事務所にご相談下さい。

 

 

 

ニュース一覧

お知らせ

カテゴリ

事務所概要

名称 オリエンタル法律事務所
連絡先
TEL: 03-6450-4832
FAX: 03-6450-4833
所在地 〒106-0032
東京都港区六本木4-10-7
エルビル5階

Googlemap
アクセス 六本木駅
6番出口徒歩1分