個人情報が漏えい?!漏えい時や不正アクセスに対する対応方法と、普段の対策について(JISQ15001)

個人情報が漏えいしたかもしれない・・・!不正アクセスが確認された!そんな時にどうすればよいのか。そしてそうなる前に対応策を考えておきたい。そんな声について、お応えすべく、まとめました。中小企業や個人事業の方にも対応しやすいよう、ポイントを押さえてまとめていきます。ぜひ、社内の個人情報保護の体制について、検討する際、漏えいの可能性がある場合の対応、の参考にしていただければと思います。

本記事はこんな方向けに書いています

  1. 個人情報が漏えいしたかもしれず、対応に困っている方
  2. 個人情報の安全管理措置を作成することとなった方
  3. 個人情報管理の担当になった方
  4. JIS15001を取得することとなり、漏えいした際のフローを作成することとなった方
目次

個人情報の漏えいとは

 2022年4月に個人情報の保護に関する法律(通称:個人情報保護法)が改正、施行され、話題となり、法令の対応に追われた方もいらっしゃることと思います。世界的にも個人情報の保護は、トレンドとなっており、日本国内でも仕組みを構築したり、認証を取る企業も多くなってきました。しかし、個人情報の担当者であっても、法令の要求事項は何で、漏えいしたらどのような対応をすればいいか明確に説明できる方がまだまだ少ないのが現状です。
 そこで、実際に個人情報が漏えいしたらどうしたらいいのか分からない。事前に対応しておくことは何ですか?とのお声に対し、対応策や実際の漏えいに対して企業がすべきこと、そして個人情報保護と企業の事業運営が、両輪として運用できるような体制づくりのヒントとなるようにまとめていきたいと思います。
 ※なお、本記事において、「漏えい」と記載していますが、文字数・文章の記載の関係でそのように記載しております。漏えい・滅失・毀損の場合すべてについての記載となります。ご了承ください。

どこまでが個人情報?要配慮個人情報や個人データって何?

 個人情報保護法第2条において、個人情報の定義がされています。一言でいうと「生存する個人の氏名・生年月日及び特定の個人を識別することができるもの、または、マイナンバー等、個人識別符号がふくまれるもの」が対象となります。この意味では単純に電話番号やメールアドレスを個人情報ということはできませんが、本人の氏名などと紐づいていたり、会社名がメールアドレスに含まれている場合など特定の個人を識別できる場合、個人情報となります。
 またパスポート番号や年金番号、個人の容貌や指紋は個人情報(この場合、個人識別符号)として取り扱われることとなり、法律の対象となります。こういった情報をまとめた個人情報データベース等を事業用途で取り扱う事業者は件数に関わらず全て「個人情報取扱事業者」となり、法令順守が必要です。
 また、個人情報の中には「要配慮個人情報」というものが含まれます。要配慮個人情報の具体的なものとして「人間ドックの結果」や「病気の診断・調剤指示」に当たります。コロナウイルス感染症が流行して以来、この情報を持っている企業も多いかと思います。この情報は差別や不利益が生まれないように特に配慮が必要な大変センシティブ情報でありますが、意図せず管理することとなっている場合は注意が必要です。この辺りの判断も大変難しいところです。
 なお、個人情報保護法第26条において、漏えい等があった場合に報告義務が課されるのは「個人情報」ではなく、「個人データ」です。この場合の個人データは先に挙げた個人情報を取りまとめた個人情報データベース等において管理また出力された情報を指します。「個人データ」について漏えい対応が求められるので、この区別は大切です。

漏えいの報告対象となる会社の規模は?

 個人情報を漏えいした場合に、会社の規模で報告対象が決まるわけではありません。個人情報取扱事業者は全て、報告対象です。そして、個人情報を1件でも取り扱う事業者は全て個人情報取扱事業者です。会社規模、法人OR個人、目的が営利OR非営利か、などは全く関係がありませんので、ほとんどの会社は個人情報を漏えいした可能性がある場合に、報告対象となりますので注意が必要です。
 意外なところでいうと、PTAや町内会、任意団体であっても、個人情報を管理することとなった時点で「個人情報取扱事業者」となる点は注意が必要です。

法的義務?努力義務?その範囲について知りたい

 それでは、どのような情報を漏えいした場合に、報告義務があるのか。それは法的義務なのか、努力義務なのかが気になりますよね。2022年4月からの施行内容の1つとして「漏えい時の報告」が法的義務となりました。内容は以下にまとめますが、1件でも対象となれば、法的義務となります

個人情報の漏えいや不正アクセスが発覚したら

 個人情報保護法の改正により、個人情報の漏えいがあった、または、その可能性がある場合に、報告義務があることをお話しましたが、実際、事故などが発覚した場合、どうしたらよいか分からない、というのが現状ではないでしょうか?
 また、漏えいの可能性というのは何を指すのか?報告しなかった場合どうなるのか?というのも良く聞かれる質問です。今、頭にスッとイメージできなかった方はぜひ以下内容で確認してみて下さい。

「どうなったら」「いつ・どこに・何を報告する?」報告義務について

  個人情報の漏えいや滅失、毀損はどこからわかるのでしょうか。一番多いのは「漏えい先や内部からの申告」です。漏えい・滅失を会社や担当者が認識した時点で、報告する可能性が高いです。そのため、会社全体で、各担当者から必要な人へ報告されるように体制や教育環境を整えること、共通認識を持っておくことが大切です。他にも、不正アクセスなどにより漏えいが発覚した場合も対象です。
 そこでまず、具体的にどのような場合に報告すればいいでしょうか。報告すべき事案は以下の通りです。

報告すべき事案件数報告先
1)要配慮個人情報が含まれる個人データの漏えい、
滅失若しくは毀損が発生し、又は発生したおそれがある事態
1件~個人情報保護委員会
本人
2)不正に利用されることにより財産的被害が生じるおそれがある
個人データの漏えい等が発生し、又は発生したおそれがある事態
1件~個人情報保護委員会
本人
3)不正の目的をもって行われたおそれがある個人データの漏えい等
が発生し、又は発生したおそれがある事態
1件~個人情報保護委員会
本人
4)個人データに係る漏えい等が発生し、又は発生したおそれがある事態1000件~個人情報保護委員会
本人
個人情報保護法ガイドライン参照

 上のとおり、単に「個人データ」が漏えいしただけでは報告義務がない反面、内容によっては1件から報告義務があること、そして、報告先は本人だけでなく、個人情報保護委員会へも必要です。
 ①の要配慮個人情報については上に記載した通りです。②の財産的被害などはクレジットカード番号等の漏えいに当たります。クレジットカード番号単体では個人情報ではありませんが、氏名等に紐づく財産的被害の生じる個人データですので、こちらを管理している場合は注意が必要です。現在、自社で決済をせず、外部の決済システムを入れている会社が多いのもそのためでしょう。③はウイルス等に感染した場合などが当たります。なお、個人情報保護委員会への報告内容については以下の通りです。
 

  1. 日時、発生場所、所属部署または担当者、発覚までの経緯
  2. 漏洩事案の対象物と事故内容(要配慮個人情報の有無、経済的損失を伴う情報の有無、不正の恐れの有無、項目、件数)とその原因
  3. 本人への通知方法や公表について
  4. 二次被害の恐れの有無とその内容
  5. 再発防止策

 また、いつまでに報告が必要かご存知でしょうか。ガイドラインによると、個人情報保護委員会への報告は、
①速報(事故発覚から3~5日以内)にまず一報を入れ、その後②確報(30日以内、内容によっては60日以内)を入れることが義務となっております。事故を把握してから、数日で報告できるための体制を整える必要があるため、事前に社内でルールを決め、訓練を経ていないと、法的義務を果たすことが出来ません。実際、発覚してから3日というのは、漏えいの規模が拡大する前に即時対応が必要となります。中小企業では情報収集する人員が割けない、ルールがあっても担当者が通常業務で手一杯で人員が割けない、というケースがよくありますので、対応フローを作成するときはその点まで加味して作るとよいでしょう。

実際に漏えいをした「可能性」があるだけで報告義務がある?!

 個人情報保護法第26条によると、漏えい・滅失・毀損の可能性があるというだけで報告義務があります。たとえば、個人データが記載されたメールの誤送信、個人データが記録された書類が盗難された場合、不正アクセスにより個人データが漏えいした場合など、報告義務がありますが、実際に漏えいした恐れがあるものの、確証がない場合もあります。(不正アクセスが発覚し、同じタイミングで漏えいの指摘があった場合など)その場合でも対象となります。
 ただ、この漏えい等の概念や、漏えいしたかどうかの判断は個別具体的なケースによることも多いため、実際に不正アクセスなどが起きた場合は専門家を含めて確認・調査を依頼することもあります。困った場合は専門家に確認することをおススメします。

何件以上でいくら罰金があるの?

 それでは漏えいした場合に、罰金等があるのか、また、報告義務を怠った場合の処分はどうなっているのでしょうか。
 漏えいの事実自体や報告義務を怠った場合に、すぐ罰金その他の処分が科されるわけではありません。法145条によると、個人情報保護委員会は漏えい等の事実により報告義務を果たさない等の違反をした場合や個人の権利利益を保護するために必要があると認める場合に、是正措置を取るよう勧告することができます。
 その後、その命令や勧告に従わない場合に、初めて、法第173条により、1年以下の懲役又は百万円以下の罰金に処することや、個人情報保護委員会による公表が出来ることになっています。つまり、即時に処分や罰金ではありませんが、対応しないと、その後結局、罰金や公表により、損害賠償対応などへと広がっていき、結果的に何億円の対応が必要になる事もあります。早急な誠意ある対応ができるよう、事前にリスク対策と共に、事故対応フローも作成しておくことが大切です。
 また、従業員や法人が自己若しくは第三者の不正な利益を図る目的で提供した場合(故意)は、別の話となります。この場合は罰金も最大1億円ととても重い刑事罰が科されることとなっています。
今回はそのケースについては触れませんが、個人情報取扱事業者はそういったリスクに対し、日頃から知識を持って、会社全体の組織作りをしておくことが必須です。

漏えいする前に、やっておくと良いこと

 ここまで、漏えい等の対応について、その罰則等をまとめてきましたが、漏えいはどの会社においても可能性があります。起きてから対応するのでは遅いため、事故が起きる前に対応フローなどを洗い出し、それを踏まえてリスクマネジメントをしておくことが必要です。
 セキュリティーソフトを入れているから、社員教育をしているから、というだけでは足りず、対応している会社であっても、漏えいする可能性があるという視点に立ち、検討しておくことが大切です。

漏えいした場合のフローを作成しておきましょう

 実際に漏えいした場合に、具体的に何をすればいいかイメージが湧いていますでしょうか。フローを実際作っていても、事故が起きると全く役に立たないというケースが多いです。フローを作成する場合は以下のポイントを押さえて検討しておきましょう。

  • 漏えいする可能性がある情報を洗い出しておく
  • 漏えいした場合の責任者と対応者(本当に少数でよい)を明確にし、具体的な役割も割り振る
  • 漏えいした場合の法的・技術的な相談者をリストアップしておく
  • 様々なパターン(ウイルス感染、機器の紛失、従業員のミス等)毎に検討しておく
  • 可能であれば、実際に訓練しておく

 一番留意すべき点は「一度でもよいので訓練をしておくこと」です。実際にやってみると、漏えいの判断はどうしたらよいか?誰が報告するか?など、細かい点で立ち止まってしまうと思います。
事前に訓練しておくことで、1次対応が出来るようにしておくと、通常業務を止めることなく、対応することができますので、ぜひ実施してみて下さい。

セキュリティの状態を確認し、取り扱っている情報を管理する体制づくりを

 訓練しておくと、日常業務でのリスクを踏まえての対応フローへ近づいていきます。そうすれば、実際に事故が起きた際も、スムーズに対応することができ、不要に慌てる必要もありません。また、想定していなかった事故に対しても、想定パターンから一番近い対応をすることができます。
 また、リスクを洗い出す際に、会社内で扱う情報を取りまとめ管理する体制が必要となります。すると、会社内のセキュリティーの甘い箇所を発見するため、強化することができます。他にも必要な情報以外を取得しない、他のシステム等を導入するなど、業務改善にも繋がります。
 このように、少しずつ社内の個人情報の管理を高めていくことで、社内意識も高まっていきます。社員意識が高まると、リスクに対する抜け漏れを集めやすくなり、管理体制がますます強化されます。リスク対応には取り扱う社員の意識づくりが一番重要なのです。

JISQ15001やPマークなどといった、認証を取得し、会社全体で守る意識作りを

 会社一丸となって、組織作り、体制づくりをすることが大切ですが、それでもありがちな漏えい事故のポイントであったり、抜け漏れが発生してしまうこともあります。その場合はJISQ15001の認証を取ることで外部の審査官にチェックしてもらうのもおススメです。その認証を取ると、第三者認証となるため、会社外の人にも情報管理体制が整っていることを理解してもらうことができます。
 現在、委託先の管理も個人情報保護法で義務とされているため、認証がある会社と取引したい、取引先に認証を取るように言われた、というお話が増えました。認証を取る事で、会社の信頼も高めていければ、ビジネスチャンスが増えていくと思います。
 なお、現在、JISQ15001の認証を取るための補助金を出している自治体も多く存在します。その他セキュリティソフト導入についての補助金などもあります。補助金を上手く活用し、 セキュリティーを高めていくこともできますので、費用面で心配という点などがあれば、お気軽にご相談いただけたらと思います。

まとめ

 いかがでしたでしょうか。
 実際に個人情報の漏えい事案は年々増えており、問合せも数多くなっています。
個人情報は適切に管理し、運用している会社も増えてきておりますが、それでも実際に事故があるとすぐ対応できない会社がまだまだ多くあります。個人情報が漏えいした、不正アクセスがあった、なんてことはあってはならない、という認識がまだ根強く、事故対応のマニュアルがない、または形骸化しているからです。これからは、情報の事故はいつどこで起きてもおかしくない、という認識で、漏えいした場合の対策が適切にできること、そしてその意識で、現状の管理やセキュリティ対策をすることが一番重要です。
 また「漏えい・不正アクセス」が実際あったのかの判断が難しい、具体的な事案について教えてほしいという質問が多いのも、この分野の難しい点です。業種によって扱う媒体、情報、管理の仕方が多様・複雑化していることが原因となっています。この辺りは具体的なお話をお聞きしながら対応しております。行政書士として守秘義務を遵守いたしておりますので、ご安心いただければと思います。
 当オフィスでは、個人情報の取扱いについてのコンサルや監査、JIS認証のサポートなどもいたしております。
お困りの際は、お気軽にお問合せいただけたらと思います。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次