漏えい後の対応の流れ

 個人情報の漏えいが起こった場合、企業が事態にどう対応すべきか、そのフローを紹介する。漏えい発生時の対応の流れは次のとおりである。

 

【個人情報漏えい後の対応の流れ】

①「個人情報漏えいを発見し、報告する」

②「初動対応を行う」

③「事実関係の調査や確認を行う」

④「通知・報告・公表などを行う」

⑤「被害拡大防止措置を実施する」

⑥「再発防止策を実施する」

それぞれの具体的な内容を以下に説明する。

 

  • 漏えいへの対応手順①「発見・報告」

 漏えいに関する兆候や具体的な事実を確認した場合は、責任者に報告してすみやかに対応体制を作る。

 まず、漏えいの事実を確認し把握して、正確に記録する。漏えいの発見者は一人で対処しようとはせず、早期に責任者に報告する。自分自身のミスや失敗、不意に知ってしまった内部不正や内部犯罪は隠さずに、ただちに報告しなければならない。

 不正アクセスや不正プログラムなどによる、情報システムからの漏えいが考えられる場合は、システム上に残された証拠を消してしまわないように、不用意な操作をしないようにする。

また、外部からの通報が会社にもたらされた場合には、相手の連絡先などを必ず控えるようにする。

 次のような場面を発見した場合、従業員はすぐに責任者に報告する。

 

個人情報漏えいの想定事例

○「機密情報や個人情報を含む書類や記録媒体、パソコンなどの紛失や盗難にあった」

○「不正アクセスや不正持ち出しの形跡を発見した」

○「入館証やカードキー、机やキャビネットの鍵、アクセス権が限定されている備品が紛失・盗難にあった」

○「メールやファクスで別人宛の個人情報を誤送信、誤発送してしまった」

○「退職者IDが有効な状態のまま残っているのを発見した」

○「顧客や報道機関、捜査当局などから情報漏えいに関する苦情や問い合わせを受けた」

○「インターネットの掲示板やSNSなどで自社の個人情報漏えいに関する書き込みを発見した」

○「機密情報や個人情報の売買を発見した」

○「『貴社の重要情報を保持している』といった外部からの不審な接触を受けた」

○「外部委託先から個人漏えいに関する不審な接触を受けたという報告を受けた」

 

  • 漏えいへの対応手順②「初動対応」

 漏えいが報告されたら、社内に対策本部や対策チームを設置して、当面の対応方針を決定する。漏えいによる被害の拡大の防止、二次被害の防止のために必要な応急処置を行う。

 社内情報が外部からアクセスできる状態にあったり、被害が広がる可能性がある場合には、情報の隔離、ネットワークの遮断、サービスの停止などの方法によって外部からのアクセスを遮断する。

 

  • 漏えいへの対応手順③「事実関係の調査・確認」

 適切に対応するために、漏えいについての事実関係を調査して情報を整理する。また、漏えいの事実関係を裏づける証拠を確保する。

 そのうえで、個人情報漏えいによる被害の重要度を検討する。

 

事実関係の調査・確認の必要事項

○「漏えいの対象となった情報の名称・種類・媒体」など

○「対象情報の内容・件数」など

○「事故発生日時」

○「事故の当事者」

○「事故の概要」

○「事故の発生場所」

○「事故発生理由」

○「現在までに取った措置」

○「今後の見通し」

 

  • 漏えいへの対応手順④「通知・報告・公表」

 漏えいした個人情報の本人と取引先などへの通知をはじめとして、警察や監督官庁などへの報告、ホームページ、マスコミなどへの公表の要否を検討する。

 漏えいした個人情報の本人には、特別な理由がないかぎり、通知を行う。本人にその事実を知らせてお詫びをするとともに、詐欺や迷惑行為などの被害に遭わないよう、注意を喚起する。

 紛失や盗難、不正アクセス、内部犯行、脅迫などによる不正な金銭の要求など、犯罪の可能性がある場合には警察へ届け出る。

 現実的にすべての関係者への個別の通知が困難な場合や、広く一般に漏えい情報による影響が及ぶ可能性がある場合などは、ホームページでの情報公開や記者発表による公表を行う。

 ただし、情報の公表がかえって被害の拡大を招く恐れがある場合については、公表の時期や対象などを十分に考慮しなければならない。

 外部公表の主な目的は、二次被害の防止と、漏えいした事業者としての説明責任の履行である。漏えい事故の外部公表の際には、事故の経緯、原因、影響、対応、再発防止、責任の所在などを明らかにする。

 

外部公表する際の報告事項の例

○「漏えい事故の発生に関する状況報告」

○「事実経緯」

○「調査方法および状況」

○「漏えいした情報の内容」

○「事故の被害内容」

○「事故原因」

○「対応策」

○「再発防止策」

○「問い合わせ窓口」

 

  • 漏えいへの対応手順⑤「被害拡大防止措置」

 漏えいによって発生した被害の拡大防止と復旧のための対応を行う。個人情報漏えい専用の相談窓口を設置して、被害が発生した場合にはその状況を素早く察知し、対応するようにする。

また、再発防止に向けた具体的な取り組みを行い、被害拡大防止のために停止したサービス、アカウントなどを復旧する。

 

  • 漏えいへの対応手順⑥「再発防止策の実施」

 漏えい事故が二度と起きないように有効な再発防止策を検討して実施する。

 また、担当部署は調査報告書を経営陣に提示し、被害者に対する損害の補償などについて必要な判断と処置をする。規定違反や不正を犯した内部職員などがいる場合には、その責任について必要な処分手続きなどを行う。また、これらの対応についても、必要に応じて情報を開示する。

 

(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)

ご相談予約専用フリーダイヤル(携帯・PHSでもどうぞ)0120-066-435 無料相談受付中
  • メールでのご予約はこちら
  • ご相談の流れはこちら

新着情報・セミナー情報

NEWS LETTER バックナンバー

無料メルマガ登録