1.事件、事故の分類
事実調査では個人情報の漏えいをどのように検出するかが重要となる。一般には、事件、事故として取り扱う事象を分類し、定義する。個人情報の漏えい対策といっても、実際は不正アクセスや内部者による情報システムの濫用などを原因として発生することが多い。従って、個人情報漏えいの原因となる事象ごとに対策を考えておくのがよい。例えば、大きくわけて以下2つの対策を事前に考えておくとよいだろう。
(1)内部者(正当なアクセス権を持っている人)に起因する可能性が高い状況
(2)外部者(正当なアクセス権を持っていない人)による不正アクセス
もちろん、例えば「ウイルスにより個人情報が漏えいした場合」といったように、この2つですべてを網羅することはできない。しかし、上記2つの分類では実際の対策と、法的な対応が異なる。(1)は営業秘密の漏えい、媒体などの漏えいに焦点を当てた証拠収集が必要となるし、(2)であれば不正アクセス禁止法に関連する証拠収集が必要となる。また、(1)の場合は、社内の人間による可能性も高く、情報の取り扱いについて社内に対してもかなり神経を使わなければならない。
2.検出
まず、「何を検出したら事件や事故と捉えるか」を定義する必要がある。これを定義しておかない限り組織間を超えた連携は行えない。しかし、現実問題として、厳密に定義しつくせるものでもないので、関係者の間で用語の意味を統一するなど現実的な線を決めていくしかない。検出についても次のような段階がある。
|
以上のような例を参考に、どこまでを検出の対象とすべきかを定義しておくべきだろう。次に検出する情報のソースについてであるが、次のように考えるとよい。
|
個人情報が漏えいした事実は、次のようなことで分かる場合が多い。
影響範囲の特定は、事件や事故の報告を受けて分析を行うことになるが、具体的な分析手法は事件、事故それぞれの内容により変わってくる。実際に分析をする際のポイントは、「事実」を適切に記録、文書化することである。何を、いつ、どこで、誰が、どのように検知したかを文書化して残していくことになる。分析の結果、漏えいの事実や漏えいの可能性が高いことを確認した場合、主務大臣等へ事実関係を報告することになる。
なお、ここでの分析は詳細な漏えいの原因を追究することではなく、以下の内容を把握し、今後の被害拡大防止などの対策を行うために必要な分析である。
1.主務大臣等への事実関係の報告
政府基本方針をうけ、省庁ガイドラインでは、漏えいなどの事故が発生した場合に主務大臣に、またはその行為が犯罪の可能性がある場合は捜査当局へ報告することを規定している。被害の拡大防止の観点などから自らの企業だけの努力だけでなく、省庁の処分を恐れて事件などの隠蔽を図ることなく主務大臣等に報告し、適切な対応を行い、被害の防止、事件の拡大の防止に努めるべきである。
2.事実関係の本人への通知、公表など
本人への通知のタイミングは若干の考慮が必要である。その行為が犯罪の可能性がある場合は、本人に通知することが捜査を妨害する可能性もある。従って、そのような場合は、捜査当局と相談しながら進めることが重要となる。
また、本人へ通知できない場合もある。その会社と取引があること自体を家族や他人に知られたくない場合もあるからだ。そのような場合は、1人1人に通知をするのではなく、公表という手段によることも考えられる。
上記のような理由でない場合は、二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係を公表することが重要である。しかし、社会的な影響がほとんどない場合は、その事実を公表する必要はないだろう。些細な個人情報の漏えいをいちいち公表することで、かえって重要な情報が埋もれてしまうからだ。
また、上場している企業の場合、リスク情報の適時開示の観点から取引所の規程に基づき、プレスリリースなどを行う必要もある点に留意していただきたい。
ここまでの過程では、どちらかというと正確性よりもスピードが要求されるものである。
Copyright © ITmedia, Inc. All Rights Reserved.