企業で個人情報が漏えいした場合の対処法【個人情報保護法】【2021年4月加筆】

個人情報が漏洩した！そのとき、どう対応する？

企業にとって、個人情報は財産であり、絶対に外部に漏れてはいけないものです。

法律上も、２０１７年５月３０日に、個人情報保護法が改正されて、企業に対して、個人情報の取り扱いに厳格なルールができました。

５月３０日から全面施行！改正個人情報保護法に企業はどう対応すればよいのか【解説記事まとめ】

では、個人情報を漏えいしてしまったとき、企業としては、どのように対応すればよいのでしょうか？今回は、個人情報が漏洩したときの対処法を解説します。

ステップ１：情報の把握

まずは、漏洩した個人情報の状況を把握する必要があります。把握する状況としては、以下の通りです。

• 漏洩した情報の特定（誰の、いかなる情報か）

まず、「誰の」ということが、特定できる範囲であれば、その人に直接連絡し、謝罪・連絡することができます。外部に公表しなくても、そこで事態が収拾する場合があります。

また「いかなる情報か」という部分では、クレジットカードの情報などが含まれている場合には、第三者がカード情報を使用してしまい、ユーザーに金銭的な被害が出る可能性があるので、急いで対策をする必要が出てきます。

そういう意味で、漏洩した情報（誰の、いかなる情報か）を特定することは重要なのです。

ステップ２：個人情報保護委員会への報告

個人情報保護法では、個人情報が漏洩した場合には、個人情報保護委員会への報告するようにとの規定があります。

法律上は、これは努力義務であり、報告しなかったからといって、罰則はありません。

しかし、個人情報保護委員会は、企業に対して、立入検査や行政指導、その結果の公表などの強い権限を持っています。

報告をしないで、後から世間に知られることになった場合には、個人情報保護委員会から調査が入り、行政処分が下る可能性もあります。

よって、企業としては、個人情報保護委員会へは、報告しておいた方がよいでしょう。

ステップ３：公表のタイミング・内容の検討

ステップ２と同時に、企業としては、個人情報が漏洩した事実を公表するかどうかを検討する必要があります。

まず、個人情報の漏えいが、小規模で、対象が特定でき、全ての人に個別に連絡できるのであれば、公表しなくていい可能性もあります。

もっとも、検討するべきは、「リピュテーションリスク（評価リスク）」です。

昨今、個人情報の扱いについては、ユーザーも敏感になっています。

特に、個人情報が漏洩したにも関わらず、隠ぺいしたことが明るみになれば、世間から相当なバッシングを受けます。

そして、隠ぺいの事実などは、内部告発などがから、明るみになることが多いです。

企業としては、漏えいしたことはマイナスイメージですが、隠ぺいしたことはそれ以上のマイナスイメージなので、基本的には、正直に話した方がよいです。

公表する内容としては、以下を記載するようにしましょう。

• 個人情報が流出したサービス名、流出した件数
• 流出した個人情報の内容
• 今後の対策

ステップ４：今後の対策～謝罪と補償～

今後の対策としては、まずは謝罪し、今後、二度と漏洩事故が起きないように、再発防止策を検討することになります。

それと同時に、ユーザーに対して、どのように補償をしていくのかということが問題になります。

補償の金額については、特に決まりはありません。よくあるのは、５００円程度のクオカードや商品券などを配布する方法です。

これが正解というわけではないですが、仮に裁判等になった場合には、１人当たり６０００円や３万円程度の慰謝料を支払うことを命じた判決もあります。

ユーザーに納得してもらうためにも、きちんとした対応が必要になります。

ステップ５：再発防止策の検討

個人情報が漏洩してしまうと、企業としても、重大な結果になってしまうことから、再発防止策を検討する必要があります。

再発防止策としては、企業としての不足点（セキュリティの不備、従業員の徹底不足）を挙げ、対策をする必要があります。

内部体制を整えるには、以下の資料も参考になります。

組織における内部不正防止ガイドライン

個人情報の漏えいの対処は、非常に重要

以上の個人情報の漏えいは、会社にとっては、一大事です。しかし、放置しておくと、どんどん問題は大きくなってきます。

企業としては、迅速に、対処する必要があります。個人情報が漏洩したときに、適切に対処できるようにしておきましょう。

Tweet