第2回 情報漏えいに備えた社内体制の整備：個人情報が流出 有事のときの危機管理（1/4 ページ）

万一の情報漏えい時に備えた危機管理対策を解説するシリーズ。今回は、情報漏えいに備えた社内体制について、3つのポイント（危機管理組織の整備、マニュアルの整備、マニュアルに従った訓練）を中心に解説する。

[丸山満彦，ITmedia]

　個人情報の漏えいなどが発覚した場合は、何よりも正確かつ迅速な対応が求められる。そのためには、事前の準備として、危機管理組織の整備、マニュアルの整備とマニュアルに従った行動が行える訓練の実施が重要である。

個人情報漏えい対応は危機管理の一環

　個人情報の漏えい対応は、危機管理（クライシスマネジメント）の一環と捉えるべきである。危機管理のポイントは、リスク顕在化の認識（検知）、その後の対応を迅速かつ適切に行うことである。「大量の顧客情報が漏えいしていた」そのような事実を知ってから、何をすべきか悩んでいる暇はない。

図1■クライシスマネジメント　内部プロセス的な対策

図2■クライシスマネジメント　対外的な対策

　事実関係の把握、主務大臣、本人への適切かつ速やかな報告と通知ができなければ、個人情報保護に関する省庁ガイドラインの違反として行政指導の対象となる。場合によっては、個人情報保護法第20条違反と認定されるかもしれない。その場合は緊急命令（法第34条第2項）の対象となるため、勧告なく主務大臣が命令を行う可能性があり、それに違反すると、懲役または罰金という重い処罰が待ち受けている。

　そのため、個人情報の大量漏えいは企業の危機管理の一環と捉えることが重要となり、危機管理体制の整備が不可欠となる。危機管理体制の整備のポイントは、以下の3点である。

1. 危機管理組織の整備
2. マニュアルの整備
3. マニュアルに従った訓練

危機管理組織の整備