「誤送信で顧客リストを送ってしまった」「社員のPCが盗難に遭った」――。
どれだけ対策を講じていても、事故を100%防ぐことは困難です。しかし、事故が起きた後の「対応」次第で、企業の社会的責任と信頼は天国と地獄ほどに分かれます。
特に2022年4月の改正法施行により、一定の漏洩事故が発生した際の「個人情報保護委員会への報告」と「本人への通知」が義務化されました。今回は、有事の際に個人情報保護士がリードすべき、法的な初動対応について解説します。
報告が必要な「事態」とは?
すべての漏洩が即報告対象になるわけではありません。法律(施行規則第7条)では、以下の4つの事態に該当する場合に報告を義務付けています。
- 敏感情報の漏洩: 病歴や信条などの「要配慮個人情報」が含まれる場合。
- 財産的被害のおそれ: クレジットカード番号やネットバンキングのログイン情報など。
- 不正目的の恐れ: サイバー攻撃(ランサムウェア等)による漏洩。
- 大規模な漏洩: 1,000人を超える本人の個人データが漏洩した場合。
これらに該当する場合、どんなに小さなミスであっても隠蔽は許されません。
期限は「3〜5日」と「30日」の2段階
報告のタイミングには明確なルールがあります。
① 速報(概ね3〜5日以内)
事態を把握してから「速やかに」行う報告です。この時点ですべての事実が判明していなくても構いません。「何が起きたか」「今何をしているか」をまず伝えることが重要です。
② 確報(30日以内、不正目的の場合は60日以内)
詳細な調査結果、原因、再発防止策をまとめた最終報告です。
【引用:個人情報の保護に関する法律施行規則 第8条】
速やかに、当該事態の状況に応じて……速報を行わなければならない。……(中略)……当該事態を把握した日から三十日以内(……六十日以内)に、確報を行わなければならない。
出典:e-Gov法令検索(個人情報の保護に関する法律施行規則)
実務で最も重要な「本人への通知」
委員会への報告と同じくらい、あるいはそれ以上に重要なのが、被害を受けた「本人」への通知です。
通知すべき内容
- どのような事態が発生したか
- 漏洩した情報の項目
- 原因と今後の対応
- 本人が二次被害を防ぐために取るべき行動(パスワード変更など)
「謝罪」だけでなく、「本人にどのようなリスクがあり、どう対処してほしいか」という情報を誠実に伝えることが、法的な義務であり、信頼回復への第一歩となります。
現場で使える「緊急時チェックリスト」
混乱する現場を落ち着かせるため、以下のステップをあらかじめマニュアル化しておくことをお勧めします。
- 事実確認: 誰が、いつ、どこで、何を、どのように漏らしたか?
- 被害拡大の防止: ネットワーク遮断、該当アカウントの停止、誤送信先への削除依頼。
- 対象の特定: 漏洩した情報は「報告義務がある4つの事態」に該当するか?
- 公表の判断: 本人への個別通知と、Webサイト等での公表が必要か?
- 再発防止策の立案: 同様の事故を二度と起こさないための具体的対策。
まとめ:事故を「教訓」に変えるガバナンス
事故が起きた時、最も避けなければならないのは「情報の過小評価」と「報告の遅れ」です。
- 法的義務: 2段階の報告(速報・確報)を期限内に守ること。
- 誠実さ: 本人への通知を優先し、被害の最小化に努めること。
- プロの視点: 事故対応を単なる「事後処理」にせず、これまでの安全管理措置を見直すきっかけにすること。
「漏洩させない」努力はもちろんですが、「漏洩した時に正しく動ける」体制を整えておくことこそが、真の個人情報保護と言えるでしょう。
【免責事項】
本記事の内容は、公開時点の法令およびガイドラインに基づいた一般的な情報提供を目的としています。個別の事故対応にあたっては、事案の性質や緊急度によって最適な判断が異なります。事案発生時は、速やかに管轄の監督官庁の指示を仰ぐとともに、弁護士等の専門家へご相談ください。
コメント