15 危機管理, 個人情報保護法

はじめに

個人情報保護委員会は10月11日、株式会社アマゾンジャパン(以下、アマゾン)に対し個人情報の保護に関する法律(以下、個人情報保護法)に基づき行政指導を行った旨公表しました。

「個人情報の保護に関する法律に基づく行政上の対応について」

この公表は、同社の運営する通販サイトの一部利用者において、別の利用者の個人情報が誤って表示される不具合が発生したことを受けてのものです。

同委員会の公表によれば、既にアマゾンからは報告を受け取っており、10月4日にはアマゾンから誤表示の影響を受けた利用者に対して個別にメール送付が行われたとのことです。

個人情報の漏えい発覚後、企業が適切な対応策を採れるか否かによって、情報漏えいやその後の二次被害の被害規模のみならず、企業のブランドイメージにも大きく影響します。

今回は、個人情報漏えい後に企業が採るべき対応について見ていきます。

個人情報漏えい後に企業が取るべき対応

個人情報保護委員会は、情報漏えいが発生した後に企業が採るべき措置につきガイドラインを定めています。

「個人データ漏えい等の事案が発生した場合等の対応について（平成29年個人情報保護委員会告示第１号）」（PDF）

「個人情報の保護に関する法律についてのガイドライン（通則編）」（PDF）によれば、
このガイドラインの対象になるのは「個人情報取扱事業者」（個人情報保護法2条５項）です。
「個人情報取扱事業者」とは、
①特定の個人情報をコンピュータ等を用いて検索することができるように体系的に構成された、個人情報を含む情報の集合物（「個人情報データベース」（個人情報保護法２条４項））を
②事業の用に供している者（国の機関、地方公共団体、独立行政法人等は除く）
をいいます。

①には例えば名刺情報のデータベースや電話帳、メールアドレス帳など（※注１）が該当し、
②は一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利、事業規模の大小を問わないことから、
およそすべての民間事業者が該当しうるものと考えられます。

※注１：利用方法からみて個人の権利利益を害する恐れが少ないものとして政令（個人情報の保護に関する法律施行令（平成15年政令第507号））で定めるものは除外されます。例えば、タウンページなどの市販刊行物や、カーナビゲーションシステム上の住所データなど本来の用途以外に個人情報が利用されないものがあたります。

以下、ガイドラインの内容につき簡単に説明していきます。

（１）個人情報取扱事業者として望ましい措置

個人情報取扱事業者は、情報漏えいが発覚した場合、二次被害の防止及び類似事案の発生防止の見地から、必要に応じて以下の６つの措置を取ることが望ましいとされています。

① 事業者内部における報告及び被害の拡大防止

情報漏えいを発見したら責任ある立場の者に直ちに報告し、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる

② 事実関係の調査及び原因の究明

情報漏えいの事実関係の調査及び原因の究明に対し、必要な措置を講じる

③ 影響範囲の特定

上記②で把握した事実関係による影響の範囲を特定する

④ 再発防止策の検討及び実施

上記②の結果を踏まえ、情報漏えいの再発防止策の検討及び実施に必要な措置を速やかに講ずる

⑤ 影響を受ける可能性のある本人への連絡

情報漏えいの内容に応じて、事実関係等につき速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く

⑥ 事実関係及び再発防止策等の公表

情報漏えいの内容等に応じて、事実関係及び再発防止策等につき速やかに公表する

また、個人情報保護法は、業界や事業分野の特性に応じた形での個人情報保護の取組の支援を目的とした認定個人情報保護団体制度（個人情報保護法47条1項）を設置しており、各認定個人情報保護団体ごとに個人情報の取り扱いに関して自主ルールが設けられている場合があるため、認定個人情報保護団体の対象事業者にあたる場合には、自主ルールに沿った対応が求められます。

「認定個人情報保護団体　制度の概要」

(２)　個人情報保護委員会等への速やかな報告

個人情報取扱事業者は、情報漏えいが発生した場合、原則として個人情報保護委員会等に対して速やかな報告に努めるべきとされています（努力義務）。
報告方法については、事業分野によって異なります。
「漏えい等の対応（個人情報）」

（i）原則

個人情報保護委員会に報告することになっています。
平成31年3月27日から個人情報保護委員会への報告方法は従来のFAX又は郵送による提出から、報告フォームへの入力に変更されています。個人情報保護委員会ホームページ内の「漏えい等の報告」ページにある各報告フォームから報告してください。

（ii）例外①：事業者が各業種の認定個人情報保護団体の対象に含まれる場合

各認定個人情報保護団体に報告することになっています。

「認定個人情報保護団体一覧」（PDF）

（iii）例外②：事業者の業種が、個人情報保護委員会の有する報告徴収及び立入検査権限（個人情報保護法44条１項、40条）が事業所管大臣に委任された分野である場合

事業を所管する監督省庁等に報告することになっています。

「改正個人情報保護法に基づく権限の委任を行う業種等及び府省庁並びに当該業種等における漏えい等事案発生時の報告先」（PDF）

※なお、漏えいした個人情報の中に行政機関等が発行する個人番号（いわゆるマイナンバー）が含まれる場合には、個人情報保護委員会等への報告は法的義務（行政手続における特定の個人を識別するための番号の利用等に関する法律29条の4）となっています。
報告手続も異なりますので、別途ガイドライン等「特定個人情報の漏えい事案等が発生した場合の対応について」を参照してください。

今回の事件につき、アマゾンは直接利用者に向けてプレスリリース等を通じた事件の公式な公表を行わなかったため、一般利用者は事件に関する情報を専らSNSや報道といった二次ソースでしか知りえない状況におかれていました。また、誤表示の影響を受けた利用者への個別メールにおいても、具体的な被害件数につき言及を避ける等説明が不十分であったとして、ネット上ではアマゾンの対応に批判の声も寄せられていました。

※個人情報保護委員会による公表に至るまでの事件の推移及びネット上の反応につき
時事通信
 「ねとらぼ」①
「ねとらぼ」②
「INTERNET Watch」

過剰反応による被害拡大の恐れがあることをふまえると公表時期や対象については慎重に検討すべきです。しかし、公表が遅れたり、公表内容が不十分であるような場合には、事件の隠蔽ではないかとの疑念を生じさせ、企業のブランドイメージ失墜の原因となりえます。

法務・コンプライアンス担当者は、あらかじめ漏えいが発覚した場合の報告連絡体制を整備しておくとともに、漏えい発生時に報告連絡体制に沿った運用がなされるよう社内に報告連絡体制の内容を周知徹底しておく必要があるといえるでしょう。

メルマガ会員登録