【企業のIT活用】個人情報漏洩をしてしまった！

個人情報漏洩が発生

第一報は色々なところから入ってきます。個人情報を漏洩された本人から、個人情報が入った鞄を紛失してしまったという社員の届出、個人情報が出回っていると第三者からの通報などです。

万が一発生した時に落ち着いて対応できるよう想定マニュアルを作成しておき、マニュアルに従って行動をします。

まずは個人情報保護責任者に連絡をします。責任者がつかまらなければ社長に連絡をいれます。連絡手順についても想定マニュアルに記載しておきます。両者ともつかまらないようなことがないように1日24時間携帯電話の電源を入れておいてもらう等対応してもらいます。

時間が経てば2次被害が拡がる、また事態が思わぬ方向に大きくなります。責任者が手早く対応するのが王道です。

個人情報漏洩の継続を断つ・公表

まずは個人情報のこれ以上の漏洩を断ちます。もし手違いで自社サイトに個人情報が表示されてしまっている場合等は、インターネットから切り離しをします。

また社内LANのサーバーに個人情報が入っている場合はサーバーダウンを行い、アクセスできないようにします。クレジットカード番号等が漏れた場合は2次被害が心配されますので、その場合はすぐに事実関係を公表します。

次に情報を収集し、原因を明らかにしその内容を公表します。具体的には、漏洩が疑われる被害者へ謝罪と個人データのどの項目がどのぐらいの人数漏れたか等の経緯を書いた内容をメールまたは手紙で送信します。またホームページに謝罪と事情説明を掲載します。まずは情報公開により被害者の不安を沈静化させます。

あわせて社内の苦情窓口の電話番号、メールアドレス、対応する開設日や開設時間をホームページ等に掲載します。

次に漏洩者が特定できる場合は責任の追及を行います。また被害者から民事責任が問われる可能性もあります。この場合は弁護士等の専門家に相談します。

下手な対応をすれば会社の信頼を失って、それこそ命取りになります。リスクマネージメント体制をしっかり作っておくことが大切です。

勧告・命令・緊急命令

個人情報保護法では、例えば個人情報取扱事業者が個人データ取扱規定を定めていたが、定めただけで運用上、全然モニタリングせずに個人情報漏洩事件が起きてしまった場合など主務大臣は当該、個人情報取扱事業者に対し、必要な措置をとるように勧告することができます。また対策を講ずべき期間も設定されます。

勧告が出た後に個人情報取扱事業者が勧告に係る措置をとらなかった場合は、次は命令になります。個人の重大な権利利益を害するような緊急措置の場合は緊急命令になります。

この命令や緊急命令に従わなかった場合は6月以下の懲役又は30万円以下の罰金になります。

個人情報保護 ガイド記事

・アナタの個人情報、守られてる？
・合言葉は「個人情報を大切に！」
・セキュリティ対策を万全に：ISMS
・電子証明書が必要になります！
・通信販売と個人信用情報
・トラブル回避！のための資格
・個人情報を再点検しよう！
・個人情報保護法