個人情報漏えいの事案は近年、枚挙にいとまがありません。個人情報の漏えいはいつどこで起きてもおかしくない問題となっているといえます。それでもなお、ご自身の会社で漏えいを起こさせないために、また、起きてしまった漏えいによる被害を最小限に食い止めるために対応すべきことをわかりやすく解説します。
監修 弁護士 伊藤 敦史
プロフィール
東京都出身。小石川高校卒業、成城大学法学部法律学科卒業、学習院大学法科大学院修了。2018年9月司法試験合格、2018年11月最高裁判所司法研修所入所、2019年12月司法修習終了後、広島弁護士会に登録。山下江法律事務所に入所。
主な取扱分野
企業法務、離婚、相続、交通事故、労働、消費者問題その他一般民事事件、倒産事件、刑事事件など
目次
漏えいの事例
TBC顧客アンケート漏洩事件(東京地方裁判所平成19年2月8日判決)
2002年に発生したエステティックサロン「TBC」の個人情報漏えい事件では、アクセス権限の設定不備により、サイトで実施したアンケートの回答内容が外部からでも自由に閲覧できる状態に置かれ、約5万人の氏名・住所・電話番号のほか、スリーサイズや脱毛の悩みといった機微な情報が流出する結果となりました。
この事件の被害者14名がエステティックサロンの運営会社を訴えた事件で、東京地裁は1人当たり最大3万5000円の支払いを命じる判決を下しました。
ベネッセコーポレーション事件(東京地方裁判所平成30年12月27日判決)
2014年に発覚したベネッセコーポレーションの個人情報漏えい事件では、業務委託先の社員が同社の顧客情報を不正に取得し、のべ約3504万件分の情報を名簿業者3社へ売却していたことが判明しました。
この事件においては、流出した個人情報が氏名、住所、電話番号、メールアドレスなど一定の範囲で他者に開示することが予定されている情報であり、個人の思想・信条や病歴といった秘匿性が高い情報ではないとして、東京地裁は1人当たり3,300円の支払いを命じる判決を下しました。
漏えいの原因
内部の人為的ミス
誤表示・誤送信
誤表示とはWebサイトのアクセス権限の設定不備などにより、本来当該利用者に表示すべきではない個人情報を表示してしまう事案です。TBC顧客アンケート漏洩事件が典型例ですが、会員制Webサイトでログイン後のページに他人の情報が表示されるような場合も誤表示の例といえます。
誤送信は本来の送信先でない人や組織に対して個人情報を送信してしまう事案です。電子メールの宛先を間違える、本来Bccで送信すべきメールをToやCcで送信することでメールアドレスが流出するといったものが典型例ですが、情報システムとは関係ないFAXの誤送信や封入ミスによる誤送信もこの中に含まれます。
紛失・誤廃棄
紛失は個人情報の所在がわからなくなること、誤廃棄は本来廃棄すべきでない個人情報を廃棄してしまう事案です。
盗難
盗難は従業員による不正持ち出しと外部の第三者によるものに分けられますが、いずれも盗難防止対策の不備といえます。
外部からの攻撃
不正アクセス
パスワード等によってアクセス制限がかけられているシステムに対して、与えられた権限を超える行為を行うことです。IDやパスワードの不正使用のほか、システムの脆弱性を利用してアクセス制限を回避する場合も該当します。
コンピュータウイルス(マルウェア)
システムの破壊や情報漏えいなど、利用者に不利益を与える悪意のあるソフトウェアを「マルウェア」といい、その中で他のコンピュータに対する感染機能を持つものを「コンピュータウイルス」と呼びます。
感染したコンピュータのデータを暗号化し、金銭を支払わないと復元できなくしたり、データを破壊するタイプのマルウェアを「ランサムウェア」(ランサムとは身代金のこと)といい、企業活動への影響の大きさから最近話題になっています。
漏えいを防ぐために
個々の漏えい対策の前提として、個人情報の取り扱いに関する基本方針を策定し、組織として個人情報の適正な取り扱いの確保に取り組むことを明確にしましょう。個人情報の取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める取扱規程を定めるとともに、守秘義務や個人情報保護に関する教育訓練、ルール違反に対する懲戒などを就業規則に定めることも効果的です。
上でも説明したように、全ての情報漏えいリスクに対応することは現実的には困難です。リスクを分析・評価したうえで、リスクを受け入れたり(リスク保有)、保険などの利用(リスク移転)も検討することになります。
内部の人為的ミスを防ぐ
誤表示・誤送信
Webサイトの誤表示対策としては、アクセス権限を適切に設定し、設定通りに動作していることを確認することが挙げられます。Webサイトの制作を外部の業者に委託している場合は、業者に任せきりにせず、自社でもテストを行うようにします。運営する中で仕様が変更される場合は特に注意が必要です。TBCの事案も仕様変更時の設定不備が原因でした。
誤送信対策としては、送信時のアドレス確認、ダブルチェックの実施、メール本文に個人情報を記載せず、パスワードで暗号化されたファイルを送信することで、仮に意図しない受信者にメールが届いたとしても個人情報を読み取れないようにすることなどが挙げられます。
一定の条件(添付ファイルの有無、社外への送信等)に該当するメールは確認(承認)がなければ送信できないようにしたり、送信後一定時間までは送信を取り消せるシステムを導入する方法もあります。
紛失・誤廃棄
紛失対策としては、個人情報を含む重要情報については保管場所を指定し、未使用時には施錠しておくことや、持ち出し時は許可制としたうえで常に携行し、電車の網棚や自動車の座席に置かないことなどが考えられます。特に紛失しやすいUSBメモリについては、ストラップや鈴などを付けることやデータの暗号化といった対策もあわせて実施するとよいでしょう。
誤廃棄対策としては、まず廃棄ルールを定めることが重要です。媒体ごとに担当部署や廃棄方法を定め、記録に残すようにします。また、重要な情報については、復元不能な形で廃棄するようにします。書類であればクロスカットのシュレッダーの利用や溶解処分、電子データの場合は抹消ツールによる消去、記録媒体の物理的な破壊などを実施します。
外部業者に廃棄を依頼する場合は、封印した状態で引き渡し、廃棄証明書を取得するなど、処分時の漏えい事故が発生しないように対策する必要があります。
盗難
外部の第三者による盗難の対策としては、警備員の配置、入退室管理、モバイル機器・書類の施錠管理などが考えられます。
これに対し、内部者による不正持ち出しは、犯人が正当な権限を持っているため、外部の第三者による犯行よりも対応が難しいといえます。適切な権限設定、退職時のID破棄といった対策に加え、従業員教育によるセキュリティ意識の醸成や正当な評価や対価による従業員満足度の向上も内部者による犯行を防ぐことにつながるでしょう。
外部からの攻撃を防ぐ
ウイルス感染、サイバー攻撃
コンピュータウイルス対策としては、セキュリティ対策ソフトウェアの導入と定義ファイル(パターンファイル)の定期的な更新が挙げられます。ただ、定義ファイルに登録されていないウイルスについては対応できないという構造的な弱点があるため、社内ネットワークに私物のパソコンやスマートフォンを接続させない、私物のUSBメモリなどの記録媒体を利用させない、業務に必要のないWebサイトへのアクセスを禁止する、不審なメールに添付されたファイルを開かないといった対策を併用する必要があります。
また、多くのウイルスやサイバー攻撃はOSやソフトウェアの脆弱性を利用しているため、OSやソフトウェアについては随時最新のものにアップデートすることが対策となります。インターネットとの出入口にあたるルーターの設定不備や更新漏れが攻撃を受けるきっかけとなることも多いため、業者に確認してもらいましょう。
漏えいが起きたら
発見および報告
発見・報告の段階で最も重要なことは、報告ルールに従って速やかに責任者に報告することです。一見、発見者自身で対応できるように見えるものでも、不用意な操作をすることで復旧作業や原因の特定を困難にしてしまう可能性があります。
必要な事項についてもれなく速やかに報告できるように、以下のような内容を含む報告用のフォーマットを用意しておくとよいでしょう。
- 報告者の連絡先
- 漏えいを認識したきっかけ(自分で発見、被害者本人からの連絡、第三者からの連絡、マスメディアからの取材申込など)
- 漏えいを認識した日時
- 漏えい発生日時
- 漏えい内容
- 漏えい件数
- 想定される漏えい原因
この時点では速やかに責任者に報告をあげることが重要なので、不明なものは「不明」と書いて構いません。また、事実を隠蔽したり報告を怠ることが最も避けるべきことなので、普段から躊躇なく報告することを社内教育で浸透させるとともに、隠蔽等に対して就業規則等で罰則を定めることも検討します。
初動対応
報告を受けた責任者は、対応チームを組織し、初動対応にあたることになります。この段階で重視すべきなのは、原因の特定や復旧を後回しにして、被害の拡大を防止することです。例えば情報が外部からアクセス可能な状態になっているのであれば、アクセスを遮断する措置を取るべきですし、コンピュータウイルスに感染していることが判明した場合には、LANケーブルを抜いたり、Wi-Fiをオフにする必要があります。電源を切ったり再起動することによって状況が悪化することもあるため、可能であればそのままにして専門家に対応を委ねます。
Webサイトからの情報漏えいの場合、アクセスの遮断によってサービスが停止することになりますが、サービスの停止を躊躇したことで被害が拡大した場合、その後の社業への影響は計り知れません。経営者はその危険性に留意すべきでしょう。
総務部門は、情報開示の方針を決定するとともに、民事・刑事の両面で今後必要な対応について弁護士を交えて協議を開始することになります。
調査
初動対応を終えた後は、適切な対応についての判断を行うために調査を行い情報を整理します。また、事実関係を裏付ける情報や証拠を確保します。
整理の観点は以下の通りです。
いつ(When)
いつ(から)漏えいしたのか、いつ漏えいの事実を把握したのかを確認します。漏えいから把握までに時間がかかっている場合は、隠蔽や報告体制の不備が疑われることになります。
何が(What)
どのような情報が漏えいしたのかを確認します。前回の記事で説明したように、情報の種類によっては個人情報保護委員会への報告義務が生じるため、正確に把握する必要があります。
どのくらい(How many)
漏えいした情報の件数について確認します。件数によって被害者への連絡方法や広報対応も変わってきますし、1,000人を超える場合には個人情報保護委員会への報告義務が生じます。
どこから(From Where)
物理的な場所(社内・社外・サーバ等)に加え、自社組織内なのか、委託先なのかといった組織上の「場所」についても確認します。委託先であれば、委託内容や委託先の監督状況が問題となるからです。
誰が(Who)
漏えいに関与したのが内部者なのか、委託先なのか、外部の第三者なのかといった観点です。
どのように(How)、どこへ(To Where)
漏えいの態様についての観点です。ノートPCやUSBメモリの紛失であれば、(パスワード等で適切に保護されていれば)紛失した物が発見されれば漏えいした情報を回収することができますが、ネット上で流通してしまった場合には、事実上漏えいした情報の回収は不可能となります。
なぜ(Why)
漏えいの原因、動機に関する観点です。自社の責任の程度、関与者に対する責任の追及、再発防止と関わってきます。
通知・報告・公表
調査を踏まえて被害者への通知(26条2項)、個人情報保護委員会への報告(同条1項)を行います。個人情報保護委員会への報告の方法は、「速報」(規則8条第1項関係)と「確報」(規則8条第2項関係)に分かれます。
「速報」に関しては、いずれかの部署が当該事態を知った時点を基準として概ね3日~5日以内に個人情報保護委員会に所定の事項を報告することになります。報告フォームは個人情報保護委員会のホームページにあります。「速報」で報告すべき事項は、次に述べる「確報」と同じで、次の事項です。「速報」については、報告しようとする時点において把握しているものに限られます。
「確報」については、原則として30日以内(不正の目的によるおそれがある漏洩等の場合には60日以内)に、次に述べるすべての報告事項を報告する(合理的努力を尽くしてもすべての事項を報告できない場合は、判明次第、報告を追完する)ことになります。
- 概要
- 漏洩等が発生し、または発生したおそれがある個人データの項目
- 漏洩等が発生し、または発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
監督官庁への報告、Webサイトでの情報公開、マスメディアへの公表、株主・証券取引所に対する開示、取引先への報告なども必要に応じて行います。
開示先によって開示内容の詳細さに差が生じることはあっても、不整合がないようにする必要があります。そのためにも情報は対応チームに集約し、対応窓口も一本化します。
被害の拡大防止・回復と復旧
初動対応でも被害の拡大防止のために応急処置としてネットワークからの遮断等を行いましたが、この段階では漏えいの原因を取り除く対策を実施します。例えば、OSやソフトウェアの脆弱性が原因で不正アクセスを受けた場合には、最新のアップデートを適用するなどの措置を取ります。
また、漏えいした情報が回収可能なのであれば、可能な限り回収に努めます。ノートPCやUSBメモリの紛失であれば遺失届の提出、盗難であれば被害届の提出を行います。デジタルデータの場合、コピーが容易であるため完全な回収は困難ですが、メールの誤送信であれば誤送信先にメールの削除の依頼をすることで被害の拡大を防止することができます。
被害の回復の観点から、500円から1,000円程度の金品(商品券やポイント等)を提供することも考慮の余地があります。金額・タイミングによっては、被害者の感情を害する可能性もあるため、実施にあたっては慎重に検討すべきでしょう。
復旧は停止したサービスを再開するための対応です。バックアップからデータを復元し、漏えいの可能性がある利用者のパスワードについては初期化するなどの対応を行います。
事後対応・再発の防止
漏えい対応の最後の段階は、事後対応と再発の防止です。抜本的な再発防止策を検討し、実施します。
具体的には、不正アクセスの検知、ログ記録、攻撃の遮断を行うツールの導入、業務プロセスの見直し、従業員教育の見直しなどを行います。
また、対策チームは調査報告書を経営陣に提示し、経営陣は調査報告書を元に、原因者に対する懲戒、責任請求、管理者に対する責任追及を行います。社内の対策チームとは別に、中立性・独立性を持った社外専門家を交えた第三者委員会に調査を委嘱する方法もあります。客観的な検証を行うことで、事故をおこした会社が自浄機能を有することを社会に対してアピールする効果も期待できます。
まとめ
今回は、個人情報漏えいの防止策と漏えいしてしまった場合の対策について説明しました。中小企業では社内のリソースが十分でない場合が多いと思います。今回の記事を参考にしつつ、外部の専門家を活用しながら対策を進めていただければと思います。