企業から情報が流出した場合の対応について教えて下さい。(前回からの続きです)

2 ガイドラインに基づく対応策

(情報漏えいの際の対応策に関するガイドラインである「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(特定個人情報保護委員会)では、情報漏えい事案が発生した場合について、①事業者内部における報告、被害の拡大防止、②事実関係の調査、原因の究明、③影響範囲の特定、④再発防止策の検討・実施、⑤影響を受ける可能性のある本人への連絡等、⑥事実関係、再発防止策等の公表、⑦監督官庁への報告が肝要であるとされていることを、前々回紹介した)

3 ガイドライン以外の対応策(続き)

①については、実際の漏えい事案をみると、文書によるお詫びとともに、お見舞い金として本人一人あたり500円または1000円を支払う例が多いようである(これに加えて、企業が自社サービスの無料券を提供する場合もあるようである)。金額の妥当性は、漏えいした情報の内容や二次被害の有無・程度にもよるため、一律に金額を設定することは難しい。

しかし、このような金額が事実上の水準となっている背景には、筆者の知るところでは、近時加入が増えている個人情報漏えい保険において、見舞金・見舞品費用が個人情報1件あたり500円から1000円と設定されていることがあるようである。

②については、実際に漏えいした者が故意によるか、過失によるかが大きなポイントである。過失による漏えいの場合には、刑事告訴は適切ではないが、漏えいした情報の重要性や件数によっては、損害賠償請求を検討することが必要な場合もあると思われる。

③についても、事案に応じて懲戒処分の有無・軽重を判断することが必要である。ただ、企業が情報漏えいの防止策を講じ、従業員に対してもその徹底を求めているにもかかわらず漏えいが生じたような場合には、過失によるからといって何らの懲戒処分も行わないことは、社内秩序の維持という観点からは問題が残る。

過失による漏えいとして簡単な処分(あるいは不問)に付すのではなく、事実関係の調査の過程で、例えば、悪意のあるプログラムを開いてしまったことは過失であるとしても、企業の指示通りにセキュリティソフトを最新のバージョンにアップデートしておけば、そのようなプログラムは自動的に排除されていたような場合には、指示違反を理由とする懲戒処分を検討すべきである。

 

以上

 

労働新聞社「週刊 労働新聞」第3044号掲載・連載「管理者必見!! 実践的情報漏えい対策」第10回(小池啓介)の後半3分の1部分に加筆補正のうえ転載