16 行政対応, 情報セキュリティ, 個人情報保護法, 外食

はじめに

タリーズコーヒージャパン株式会社は、10月３日、同社が運営するオンラインストアに対する第三者からの不正アクセスにより、9万人以上の個人情報が流出したおそれがあるとの調査結果を発表しました。
漏洩した情報の中には、5万件以上のクレジットカード情報も含まれている可能性があるということです。

タリーズコーヒージャパンは、今年5月30日に不正アクセスの被害を公表し、以後、調査に乗り出していました。

タリーズオンラインサイトに不正アクセス

不正アクセスが発覚するまでの経緯とその後の対応は以下のとおりです。

(1)今年5月20日、警視庁より、タリーズコーヒージャパンが運営するオンラインサイト「タリーズオンラインストア」を利用した客のクレジットカード情報が漏洩している可能性などを指摘される。指摘を受け、タリーズコーヒージャパンは、カード決済をすぐに停止。
(2)5月23日、オンラインストア自体を一時閉鎖する。
(3)情報漏洩の可能性があったため、5月30日、会社ホームページやメディアを通じて発表を行う。
(4)その後、会社は第三者調査機関にフォレンジック調査を依頼し、被害状況の調査を実施。
(5)調査の結果、これまでに会員登録を行った約9万2000人の氏名、住所、電話番号などの個人情報が流出したおそれがあること、また漏洩した情報には2021年7月20日～2024年5月20日の期間に「タリーズオンラインストア」で使用された約5万2,000人のクレジットカードの番号や有効期限の情報も含まれている可能性があることなどが判明する。

今回の調査結果を受け、タリーズコーヒージャパンではクレジットカード会社とともに不正利用の履歴がないか確認していますが、利用客にも身に覚えのない請求がないかを確認するよう呼びかけています。

不正アクセス被害が急増、個人情報漏洩時の企業の法的対応は？

近年、急増する不正アクセス。警視庁の発表によると、昨年の全国での不正アクセス認知件数は、前年から約3倍の6,312件に上ったといいます。
大手企業が不正アクセスによる情報漏洩を発表するケースも珍しくなく、もはやどの企業にとっても他人事ではありません。

では、不正アクセスなどにより個人情報の漏洩が発覚した場合、企業は法的にどのような対応をとればよいのでしょうか？

この点、2024年4月1日から改正個人情報保護法施行規則が施行されており、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、「個人情報保護委員会への報告」及び「本人」への通知が義務づけられています。

報告が必要なケースとして、以下の4つが挙げられています（個人情報保護法施行規則第7条）。

(1)要配慮個人情報が含まれる事態
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴など、不当な差別や偏見その他の不利益が生じないよう、その取扱いに特に配慮を要するものとして定められている個人情報が漏えいしたケースなどが当てはまります。

(2)財産的被害が生じるおそれがある事態
例えば、ECサイトからクレジットカード番号を含む個人データが漏えいしたケース、ネットバンキングのIDやパスワードなどが漏えいしたケースなどです。

(3)不正の目的をもって行われた漏えい等が発生した事態
こちらは、例えば、従業者が顧客の個人データを不正に持ち出して第三者に提供したケースや、不正アクセスで個人データの漏えいが認められたケースなどが該当します。

(4)1,000人を超える漏えい等が発生した事態
例えば、サイトの設定ミスで個人データの閲覧がネット上で可能な状態となり、1000人を超える個人データの漏洩等が発生したケースなどです。

ちなみに、この「1000人超」という基準ですが、漏洩が発覚した当初1,000人以下でも、その後1,000人を超えた場合には、超えた時点で報告が必要となります。
また、漏洩した個人データに係る人数が確定できない場合でも、漏洩したおそれのある人数が最大1,000人を超えるときには、同じく報告が必要となります。

今回のタリーズコーヒージャパンの事案は、(2)、(3)、(4)の3つが当てはまる重大な事案といえます。

個人情報保護委員会によりますと、2023年度に報告された漏えい等の件数は12,120件だったということです。2022年度は7685件となっており、前述の不正アクセスの件数と相まって、急激な増加傾向にあるといえます。

漏洩が発覚した直後には、どのような情報が外部に漏れているのか、その実態把握が難しいことが少なくありません。迅速に調査を進めつつ、分かる範囲で個人情報保護委員会に報告をすることが望ましい対応となります。

情報セキュリティリスクが急速に高まっている昨今、個人情報を預かる企業としては、セキュリティを強化しつつ、データが漏洩した際の対策を講じておくことが重要です。

メルマガ会員登録

新着情報

弁護士
水守真由弁護士
労務法務訴訟対応契約法務労働法全般育児介護休業法
弁護士法人かなめ
〒530-0047
大阪府大阪市北区西天満４丁目１−１５西天満内藤ビル６０２号

ニュース
外国人雇用の理由「労働力不足の解消や緩和」が60％超　－厚労省2025.1.7
労務法務外国人雇用労働法全般
NEW
厚生労働省が日本で働く外国人についての調査を初めて実施し、その結果を公表しました。その中で...

セミナー
- 石黒浩氏（大阪大学　基礎工学研究科　システム創成専攻　教授 (栄誉教授)）
- 安野たかひろ氏（AIエンジニア・起業家・SF作家）
- 稲葉譲氏（稲葉総合法律事務所　代表パートナー）
- 藤原総一郎氏（長島・大野・常松法律事務所　マネージング・パートナー）
- 上野元氏（西村あさひ法律事務所・外国法共同事業　パートナー）
- 三浦亮太氏（三浦法律事務所　法人パートナー）
- 板谷隆平弁護士（MNTSQ株式会社　代表取締役/ 長島・大野・常松法律事務所　弁護士）
- 山口憲和氏（三菱電機株式会社　上席執行役員　法務・リスクマネジメント統括部長）
- 塚本洋樹氏（株式会社クボタ　法務部長）
【12/6まで配信中】MNTSQ Meeting 2024 新時代の法務力～社会変化とこれからの事業貢献とは～
終了
2024/12/06
23:59～23:59