個人情報漏えいが発生しますと、各企業はお詫び文をウェブサイトに掲載したり、お詫びの記者会見をしたりします。しかし、どの程度の内容で、どの程度の対応をするべきなのでしょうか?
もちろん、これは各社の考え方によるものです。些細な内容でも厳格さを保つために外部に公表するという判断もあれば、かなりひどい内容でもイメージダウンを避けるためにできるだけ外部には公表しないという判断もあるでしょう。
しかし、ある程度、共通認識と言いますが、一定の線は引けるのではないかと思うのです。
以下は、某有名な企業が出したお詫びのプレスリリースです。
個人情報漏えいのお詫びとご報告
この度、当社社員が自宅の私有パソコンに保存していた当社社員の個人情報がインターネット上へ漏えいする事故が発生いたしました。当社の管理体制の不備からこのような事態を招き、関係者の皆様方には大変なご迷惑、ご心配をおかけしましたこと、心から深くお詫び申し上げます。
なお、漏えいした個人情報の詳細は下記の通りです。
当社社員6名の個人情報(メールアドレス、会社が付与した個人識別番号)
情報が漏えいした社員につきましては、担当部門の責任者から謝罪を行うと共に、関係省庁への報告を行いました。これまでのところ、漏えいした個人情報が不正に利用された事実は確認されておりません。
当社では、個人情報の取り扱いについて、社内における教育、および管理体制の強化に努めて参りましたが、今回このような事態を招いたことを重く受け止め、再発防止に真摯に取り組むと共に、更なる情報セキュリティの強化に取り組んで参ります。
2011年4月12日
●●●●●●●●●●●●●株式会社
発生した事実は下記の通りです。
・社員の私有パソコンから、
・社員6人分のメールアドレスと社員番号がインターネット上へ流出した。
・社員6名には個別に謝罪した。
ここまでの情報をわざわざ社外に公表する必要があるのでしょうか? ここでは、経済産業省のガイドラインを見てみたいと思います。
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
※「2-2. 個人情報取扱事業者の義務等」の「2-2-3. 個人データの管理(法第19条~第22条関連)」→「2-2-3-2. 安全管理措置(法第20条関連)」の内容を抜粋。
(カ)事実関係、再発防止策等の公表
二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。
ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間等で、当該事案に関する情報が共有されることが望ましい。
・影響を受ける可能性のある本人すべてに連絡がついた場合
・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合(ただし、(オ)に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。)・漏えい等をした事業者以外では、特定の個人を識別することができない場合(事業者が所有する個人データと照合することによって、はじめて個人データとなる場合。ただし、(オ)に定める報告の際、漏えい等をした事業者以外では特定の個人を識別することができないものと判断できる措置内容を具体的に報告すること。)
つまり、
1) 全員に連絡がついた場合
2) 誰にも見られることなく回収した場合
3) 高度な暗号化がされている場合
4) 第三者では個人を識別できない場合
には、公表しなくてもよいとしています。
今回のケースは「1) 全員に連絡がついた場合」にあたりますので、本ガイドラインとしては「公表を省略しても構わない」としている範疇に含まれると思われます。ですから、あくまでもこの会社としては、自らの判断において必要だと考えたために公表したということになります。
ただし、そういう事情をご存知ない方がこのお詫び文書を見て、「うわ、こんな規模の個人情報漏えいでもお詫び文を掲載しなくちゃならないんだ」と勘違いして、それがまた次の勘違いを生んで……というような事態は避けたいと思います。
経済産業省のガイドラインなどを、皆さんがしっかり理解されて、行動されることを求めます。
執筆者紹介
中康二
オプティマ・ソリューションズ株式会社 代表取締役
多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など。
この記事は中康二氏が運営する「プライバシーマーク・個人情報保護blog @pmarknews」に掲載されたコンテンツを適宜編集部にて加筆・修正を行って転載しています。