弁護士法人Martial Artsの『EC相談室！』～個人情報流出！その時、どうする？～その② 弁護士 吉新 拓世　

その①の続きです！

第３　情報漏洩からの復旧等

情報漏洩の被害を食い止め，今後において情報を漏洩させないためにどのような対応を行うべきか，
大きく分けて２点を以下にご紹介します。

第一に，二次被害を防止することです。

具体的に何を行うべきかは，情報漏洩の経路などによって異なりますが，
代表例を以下にお示しすると，例えば，インターネット上への誤掲載やＥメールの誤送信であれば，
可能な限り削除し，又は削除を依頼することが考えられます。

データの管理をしているコンピュータや記憶媒体が紛失・盗難に遭った場合には，
コンピュータ等を動かせないようにできるのであれば動かせないように対応したうえで，
警察にも届け出るべきでしょう。

ウイルス等によりネットワーク経由で情報が漏洩した場合は，
貴社のシステム自体をネットワークから遮断することも必要になってきます。

漏洩した情報の中にクレジットカードや銀行口座番号が含まれている場合には，
お客様に通知するほか，クレジットカード会社や銀行に連絡して不正利用を防止する必要があります。

第二に，事実の調査を行い，原因を究明することです。

初動対応において，漏洩した情報やその原因についてはある程度判明しているところではありますが，
これ以降の事後対応を確実に行い，再発防止策を講じ，
お客様をはじめとする関係者への報告を適切に行うためにも，
詳細に究明しつくすことが重要です。調査チームを設けるなど，一定の人員を割いて対応すべきです。

第４　情報漏洩に関する事実等の開示

１　どのような開示を行うか

情報漏洩に関する事実関係や再発防止策の内容については，
各利害関係者に対して開示することとなります。

誰に対しどのような開示を行うのか，以下で簡単にご紹介します。

なお，開示は，以下の（１）から（３）の順番に行うことが望ましいと考えられます。

（１）被害者への連絡・謝罪
情報を漏洩させてしまったお客様が判明したら，
そのお客様に対して，①情報漏洩の原因，②漏洩した情報の内容，
③謝罪の意，④どのような事後対応を行うか，⑤問い合わせ先等をお伝えします。

また，情報漏洩の程度・範囲によっては，二次被害への注意を喚起することも考えられます。

（２）主務大臣への報告
情報漏洩の事実関係等については，
事故報告書などをもって主務大臣（通信販売事業者の場合には経済産業大臣）に報告を行います。
報告すべき事項については，下記２で引用している構成例を参考にしてください。

（３）事実関係等の公表
マスコミ等に事実関係や再発防止策等を公表することは，企業の社会的責任を果たす意味もあるほか，
今後類似の事件・事故が発生することを防ぐためにも重要な意味を持っています。

公表に際しては，その社会的影響力の大きさからも，表現方法には特に慎重を期すべきです。

無用な混乱や誤解を避けるため，開示すべき事項や表現内容は統一するようにしてください。
表現内容については，第三者のチェックが有用ですし，法的リスクがある場合や判断に迷う場合は，
弁護士にリーガルチェックを依頼することも検討に値すると考えられます。

また，マスコミ等への公表にあたっては，その方法，タイミングについて特に考慮すべきことがあります。

それは，早急に事実の公表を行うという要請に応えることと，
公表を行ったことそれ自体による二次被害の防止とのバランスを取ることです。

二次被害の防止との関係では，公表に先立って，
お客様への対応や調査がすべて終わっていることまでは必要でないとしても，
最低限，マスコミ等から当然寄せられることが予想される質問に対し，
一通りの答えを準備できる程度には，調査や二次被害防止の対応を行っておくべきです。

一方，公表に慎重になるあまり適切な時機を逸してしまうと，
隠蔽しようとしたのではないかとの誤解を招いたり，非難の対象となったりしてしまうこともあります。
事案に応じた微妙な判断が求められるところです。

２　参考：事故告知・謝罪等の構成例

参考として，以下に，独立行政法人情報処理推進機構が公表しているマスコミに公表する際の一般的な留意事項，
事故告知・謝罪などの構成例を引用しますので，ご参照ください。

（引用はじめ）
マスコミへの公表
マスコミへ公表する際には，「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」改定に伴う
「事実関係，再発防止策等の公表」の考え方を考慮し，対応方法を検討する。

～以下抜粋～
（カ）事実関係，再発防止策等の公表
二次被害の防止，類似事案の発生回避等の観点から，
個人データの漏えい等の事案が発生した場合は，可能な限り事実関係，再発防止策等を公表することが重要である。

ただし，例えば，以下のように，二次被害の防止の観点から公表の必要性がない場合には，
事実関係等の公表を省略しても構わないものと考えられる。
なお，そのような場合も，類似事案の発生回避の観点から，同業種間等で，
当該事案に関する情報が共有されることが望ましい。
・影響を受ける可能性のある本人すべてに連絡がついた場合
・紛失等した個人データを，第三者に見られることなく，速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合
・漏えい等をした事業者以外では，特定の個人を識別することができない場合
（事業者が所有する個人データと照合することによって，はじめて個人データとなる場合）

事故告知，謝罪などの構成例
外部向け（プレス，個人宛など）の告知，謝罪に含まれるべき項目
序文（発生した情報漏えい事故に関する謝罪，今後の会社としての取り組みなど）
事故発生に関する状況報告
事実経緯
漏えいした情報の内容
事故の被害内容（二次被害の影響含む）
事故原因
当面の対応策
再発防止策
問い合わせ窓口（事故に関する連絡先）

官庁向け事故報告書に含まれるべき項目
事業社名
発覚日
事故原因
漏えいした情報の内容
事故の被害内容（二次被害の影響含む）
警察届出有無
個人への連絡
再発防止策
（引用おわり）
（引用元：独立行政法人情報処理推進機構『情報漏えいインシデント対応方策に関する調査報告書』）

その③に続きます！
（次回は，お客様への事後対応についてです）