最終回 本人・行政・社会への対応のポイント：個人情報が流出 有事のときの危機管理（2/3 ページ）

[丸山満彦，ITmedia]

　個人情報保護法が行政法であることを考慮すると、個人情報の漏えいなどが発生した場合、事業者はまず所管する各省庁の担当者に連絡すべきである。法施行前の現在でも、漏えいを起こした事実を省庁に連絡してきている事業者があるという。

　また、同法で、各事業者は主務大臣に対して報告義務を負わされていることに留意しなければならない。

（報告の徴収） 第三十二条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。

　そして、各事業者が、この規定によって行われた報告の徴収に対し、主務大臣に報告をしなかったり、内容を偽って報告したりすると罰せられることになる。

第五十七条　第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。

所管府省庁への連絡・報告

　漏えい事故が起こった場合、または漏えいの可能性が高いと思われる場合には、以下の項目に留意して報告を行うとよい。

1. 個人情報が漏えいした事実
2. どのような個人情報が漏えいしたのか（利用目的、項目など）
3. その中にセンシティブな情報（信用情報、医療情報、通信の秘密、人種、門地など）が含まれているか
4. どの程度の量が漏えいしたのか
5. どのような形態で漏えいしたのか
6. 暗号化などの措置が講じられているのか
7. すでに広範囲に漏えいしていると考えられるのか
8. どのようにしてその事実または疑いを知ったのか
9. いつそれを知ったのか
10. 本人などからの問い合わせがあったか
11. 実際に具体的な被害が生じているのか
12. 漏えいした原因として考えられることは何か
13. 誰が漏えいを行ったのか、またはそれが分からないこと
14. 捜査当局に届けているか

　ただし、必要な項目のすべてが分かってから報告するのではなく、直ちに報告することが重要である。そのため、分からなければ分かっている部分だけでも報告するべきである。各府省庁は、このような情報を総合的に判断し、必要に応じて事業者に対して、助言を行うことになる。

本人への通知

　所管省庁に対して直ちに報告をしたのち、各府省庁の助言などを得ながら事態の解決にあたることになるが、次に漏えいなどの事実を本人に知らせることになる。郵送により本人に知らせることが最も確実な手段であろう。ただし、事業の形態によっては、家族などの本人以外の者が見て別の問題を生むような場合もありえるので、その場合は新聞やWebサイトで告知するなどの手段を検討する。

　本人に知らせる内容で重要なもことは、事実関係を簡潔に説明するとともに、本人がどのような不利益を被る可能性があるのかを想定できるような情報、実際に被害にあった場合の問合せ先の情報を提供することである。以下がその具体的な項目例となるので、参考にしていただきたい。

1. 個人情報が漏えいした事実
2. どのような個人情報が漏えいしたのか（利用目的、項目など）
3. その中にセンシティブな情報（信用情報、医療情報、通信の秘密、人種、門地など）が含まれているか
4. どの程度の量が漏えいしたのか
5. どのような形態で漏えいしたのか
6. 暗号化などの措置が講じられているのか
7. 広範囲に漏えいしていると考えられるのか
8. 実際に具体的な被害が生じているのか
9. （想定される）被害の例
10. その際の対応策の例
11. 自社の対応窓口

　一時期、お詫び代として500円〜1000円相当の商品券等を送付する事例が相次いだ。お詫び代は損害賠償金ではないため、お詫び代を支払っていたとしても損害賠償請求を受ける可能性はある。また、安易にお詫び代を支払い会社に損害を与えた場合は、株主代表訴訟の対象になり得る。一般にお詫びとして商品券などを送付する必要はないと思うが、事業の特性、経営におけるその事業の重要性、社会の状勢などを斟酌し、決定するとよいだろう。

事実関係の公表