企業にとって、個人情報は財産であり、絶対に外部に漏れてはいけないものです。
法律上も、2017年5月30日に、個人情報保護法が改正されて、企業に対して、個人情報の取り扱いに厳格なルールができました。
5月30日から全面施行!改正個人情報保護法に企業はどう対応すればよいのか【解説記事まとめ】
では、個人情報を漏えいしてしまったとき、企業としては、どのように対応すればよいのでしょうか?今回は、個人情報が漏洩したときの対処法を解説します。
まずは、漏洩した個人情報の状況を把握する必要があります。把握する状況としては、以下の通りです。
まず、「誰の」ということが、特定できる範囲であれば、その人に直接連絡し、謝罪・連絡することができます。外部に公表しなくても、そこで事態が収拾する場合があります。
また「いかなる情報か」という部分では、クレジットカードの情報などが含まれている場合には、第三者がカード情報を使用してしまい、ユーザーに金銭的な被害が出る可能性があるので、急いで対策をする必要が出てきます。
そういう意味で、漏洩した情報(誰の、いかなる情報か)を特定することは重要なのです。
個人情報保護法では、個人情報が漏洩した場合には、個人情報保護委員会への報告するようにとの規定があります。
法律上は、これは努力義務であり、報告しなかったからといって、罰則はありません。
しかし、個人情報保護委員会は、企業に対して、立入検査や行政指導、その結果の公表などの強い権限を持っています。
報告をしないで、後から世間に知られることになった場合には、個人情報保護委員会から調査が入り、行政処分が下る可能性もあります。
よって、企業としては、個人情報保護委員会へは、報告しておいた方がよいでしょう。
ステップ2と同時に、企業としては、個人情報が漏洩した事実を公表するかどうかを検討する必要があります。
まず、個人情報の漏えいが、小規模で、対象が特定でき、全ての人に個別に連絡できるのであれば、公表しなくていい可能性もあります。
もっとも、検討するべきは、「リピュテーションリスク(評価リスク)」です。
昨今、個人情報の扱いについては、ユーザーも敏感になっています。
特に、個人情報が漏洩したにも関わらず、隠ぺいしたことが明るみになれば、世間から相当なバッシングを受けます。
そして、隠ぺいの事実などは、内部告発などがから、明るみになることが多いです。
企業としては、漏えいしたことはマイナスイメージですが、隠ぺいしたことはそれ以上のマイナスイメージなので、基本的には、正直に話した方がよいです。
公表する内容としては、以下を記載するようにしましょう。
今後の対策としては、まずは謝罪し、今後、二度と漏洩事故が起きないように、再発防止策を検討することになります。
それと同時に、ユーザーに対して、どのように補償をしていくのかということが問題になります。
補償の金額については、特に決まりはありません。よくあるのは、500円程度のクオカードや商品券などを配布する方法です。
これが正解というわけではないですが、仮に裁判等になった場合には、1人当たり6000円や3万円程度の慰謝料を支払うことを命じた判決もあります。
ユーザーに納得してもらうためにも、きちんとした対応が必要になります。
個人情報が漏洩してしまうと、企業としても、重大な結果になってしまうことから、再発防止策を検討する必要があります。
再発防止策としては、企業としての不足点(セキュリティの不備、従業員の徹底不足)を挙げ、対策をする必要があります。
内部体制を整えるには、以下の資料も参考になります。
以上の個人情報の漏えいは、会社にとっては、一大事です。しかし、放置しておくと、どんどん問題は大きくなってきます。
企業としては、迅速に、対処する必要があります。個人情報が漏洩したときに、適切に対処できるようにしておきましょう。