企業から情報が流出した場合の対応について教えて下さい。
(前回からの続きです)

2 ガイドラインに基づく対応策

(情報漏えいの際の対応策に関するガイドラインである「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(特定個人情報保護委員会)では、情報漏えい事案が発生した場合について、①事業者内部における報告、被害の拡大防止、②事実関係の調査、原因の究明、③影響範囲の特定、④再発防止策の検討・実施、⑤影響を受ける可能性のある本人への連絡等、⑥事実関係、再発防止策等の公表、⑦監督官庁への報告が肝要であるとされていることを、前回紹介した)

この⑤及び⑥については、「事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から」判断するものとされる。さらに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」には、二次被害防止の観点から公表の必要がない場合の例として、「影響を受ける可能性のある本人すべてに連絡が付いた場合」「紛失等した個人データを第三者に見られることなく速やかに回収した場合」「高度な暗号化等の秘匿化が施されている場合」「漏えい等をした事業者以外では、特定の個人を識別することができない場合」が挙げられており、実際に漏えいした際の判断で参考になる。

なお、上記①~⑦までの対応策を講じる際に最も重要なポイントは「迅速性」である。情報漏えい時には、上記①~⑦までを順に実施するのではなく、損害拡大を防止するべく、これらをほぼ同時に行うことが必要となる。大規模な個人情報の漏えい事案の場合は、事実関係等の調査が終了する前に、漏えいの可能性がある旨の公表を行うことも十分に考えられる。

3 ガイドライン以外の対応策

ガイドライン以外の対応策としては、①漏えいした情報の本人へのお詫び、②漏えいした者に対する損害賠償請求や差止め請求、不正競争防止法違反を理由とする刑事告訴、③漏えいした者が従業員である場合には懲戒処分――などが考えられる。

(第3回へ続く)

労働新聞社「週刊 労働新聞」第3044号掲載・連載「管理者必見!! 実践的情報漏えい対策」第10回(小池啓介)の中ほど3分の1部分に加筆補正のうえ転載