個人情報保護法のWEB弁護士相談 - 漏洩対応編 -

2. 個人情報の漏洩についてのクレームを受けた場合の対応方法

個人情報の漏洩についてのクレームとは、「貴社に登録した個人情報を使ったと思われるダイレクトメールが届いている」「貴社に登録したクレジットカードで不正利用が発生した」などのお問い合わせやクレームのことです。
初期対応から事実関係の調査・公表までの一連の経過において対応方法を間違えると、漏洩の発覚が遅れ、不測の損害を被るおそれがあります。根拠のないクレームだと軽視することなく、慎重に対応しましょう。

インデックス
  • 業務内容

    漏洩発覚のきっかけ

    複数のお客様より、クレジットカードの不正利用があったが、弊社の取得している個人情報の漏洩が原因ではないのか、とのクレームを受けました。
    弊社では個人情報の漏洩の事実は確認しておりませんが、このようなクレームに対してどのように対応したらよいでしょうか?

    このようなお問い合わせ、クレームは、個人情報の漏洩が生じていることを知るきっかけとなることがあります。
    漏洩の事実を現時点で確認していないというだけでクレーマーだと決めつけてしまうと、被害の拡大に気が付かず事態が深刻化する恐れがあります。
    漏洩発覚のきっかけの例としては、次のようなものが考えられます。

    • なくしたもの(遺失物)の発見者・警察からの連絡
    • 誤メールの受信者からの報告
    • SNS・インターネットでの拡散
    • 報道機関からの取材依頼
    • 口止め料・身代金の請求
    • アラートシステムによるコンピューターウイルスや不正アクセスの検知
    • 不審なアクセスログの探知
    • 振り込め詐欺やクレジットカードの不正利用の被害者からの問い合わせ

    いずれのきっかけについても軽視することなく、漏洩のおそれのある事案として対応するようにしましょう。

    これらのきっかけに実際に接した場合には、まず何を行うべきですか?

    まず、最初のステップは、きっかけに接した人が責任者に報告することです。
    直接の報告先は、通常は所属部署の上長になります。
    外部からの問い合わせやクレームの場合には、相手の名前や連絡先も併せて報告しましょう。
    コンピューターウイルスや不正アクセスによる漏洩が疑われる場合には、不用意な操作をせず、システム上に残された証拠を消さないようにしましょう。

    報告を受けた上司はどのように対応すべきですか?

    報告を受けた上長がどこに報告すべきかは社内ルールを確立して、日ごろから従業員を教育しておくことが重要です。
    社内の一従業員から管理職への報告ルートを構築し、速やかに社内で情報共有がなされる仕組みを事前に整備しておきましょう。
    一斉に報告できるメーリングリストやチャットアプリを活用することも考えられます。

    報告の際に気を付けることはありますか?

    口頭で行うと情報が不正確になる可能性が高いため、このような情報共有は必ずメールやテキストメッセージ、書面などの文章で報告するようにしましょう。
    また、情報が錯そうして社内が混乱することを防止するために、報告を受けた情報や聞き取り調査をした情報をどの部署が一元管理するのか、あらかじめ決めておくことを心がけましょう。

    事実の調査・情報収集

    弊社で個人情報が漏洩しているのではないかとのクレームを複数受けたとの報告がありました。
    どのような対応をとるべきでしょうか?

    クレームや問い合わせがあったとの報告を受けた場合、報告を手がかりにして、速やかに事実関係の確認と調査を行わなければなりません。
    調査の後に適切な対応をとるためには、いつ(When)、どこで(Where)、誰が(Who)、何を(What)、なぜ(Why)、どうしたのか(How)のいわゆる5W1Hをできるだけ迅速に、かつ正確に把握することが重要であると言えます。
    また、これらの5W1Hを裏付ける情報や証拠も可能な限り確保するようにしましょう。
    ここでは、従業員Aが取引先一覧の記録されたパソコンを社外で紛失した事案を題材にして、5W1Hによる事実関係の整理の一例をご紹介します。

    5W1H 調査すべき事実関係 実際の事実関係
    (1)いつ
    (When)    		 ・いつ従業員Aがパソコンを紛失したのか
    ・いつパソコンの紛失が発覚したのか    		 ・20××年××月××日の午後△△時から〇〇時の間
    ・紛失の発生した20××年××月××日の翌日午前△△時ごろ
    (2)どこで
    (Where)    		 ・どこで従業員Aがパソコンを紛失したのか ・従業員Aが退勤後に入店した居酒屋、またはそこからAの自宅までの経路
    (3)誰が
    (Who)    		 ・パソコンを紛失したのは誰なのか
    ・紛失に関与した従業員は誰なのか    		 ・従業員A
    ・パソコンの持ち出しを許可した上司B
    (4)何を
    (What)    		 ・どのパソコンを紛失したのか
    ・何が記録されたパソコンを紛失したのか    		 ・従業員Aが企業から貸与されたノートパソコン1台
    ・取引先の名前、住所、電話番号、取引内容が記載された一覧表
    (5)なぜ
    (Why)    		 ・なぜパソコンを紛失したのか
    ・なぜパソコンの紛失が発覚したのか    		 ・従業員Aが自宅で仕事をする目的で持ち出し許可申請を行ったところ、不許可事由があるにもかかわらず、上司Bが過失で持ち出しを許可したため
    ・従業員Aが翌日出勤した際に、パソコンの返却を求められ、手元にないことに気が付いたため
    (6)どうしたのか
    (How)    		 ・従業員Aはどのようにしてパソコンを紛失したのか
    ・どのようにしてパソコンの紛失が発覚したのか    		 ・従業員Aが退勤後に入店した居酒屋、またはそこからAの自宅までの電車などにパソコンを置き忘れた
    ・部長Cが本来許可の下りないパソコンの持ち出しが行われていることに気が付き、従業員Aに対して返却を求めたことによって発覚した

    事実関係の調査を行う際に、特に重点を置いて情報収集を行うべきなのは5W1Hのうちどれですか?

    事実関係を調査する主な目的は、個人情報の漏洩による被害の実態を把握したうえで対応方針を策定し、二次被害を防ぐことにあります。
    そのため、どのような性質・種類の情報が漏洩したのか(What)、どのような経緯で漏洩したのか(Why、How)に関する調査に重点を置くべきでしょう。

    なぜWhatが大事なのですか?

    初期段階で対応の方針を決定する際には、漏洩した情報がどのような性質・種類の情報であるのか(What)が非常に重要だからです。
    氏名やメールアドレスといった個人の属性や連絡先に関する情報が漏洩したのみである場合と、クレジットカード番号や銀行口座の情報が漏洩した場合とでは、その後どのような対応を行うべきなのかが変わってきます。
    例えば、要配慮個人情報、不正に利用されることにより財産的被害が生じるおそれがある個人情報など、特に重大な漏洩が生じた場合には、当局報告や本人への通知といった義務が発生します。
    詳しくは、3.個人情報の漏洩についての当局報告4.個人情報の漏洩についての本人通知を参照してください。

    Whatの調査が役に立つ場面は他にもありますか?

    二次被害を防止しようとする場面では、どのような性質・種類の情報が漏洩したのか(What)によって、想定される二次被害とその防止策が変わってきます。
    例えば、クレジットカードの情報が漏洩した場合には、その情報を第三者が悪用して不正なカード決済を行うなどの財産的被害が想定されるため、本人と銀行に対してその口座の利用停止を求めるといった防止策が考えられます。
    また、そのような防止策を実行するために、漏洩した情報の本人が誰なのか(What)を特定する際にも役に立ちます。

    What以外の調査は重要ではないのですか?

    もちろんそんなことはありません。
    二次被害防止策と再発防止策を検討するためには、どのような経緯で漏洩したのか(Why、How)の調査も非常に重要です。
    例えば、企業のパソコンがコンピューターウイルスに感染したケースでは、そのパソコンの利用を停止し、企業のネットワークから切り離すといった二次被害防止策を講じて、情報セキュリティ体制の見直しを行うといった再発防止策を講じることが考えられます。
    WEBサイトの権限設定ミスがあった場合などには、いつ(When)やどこで(Where)といった情報を調査して漏洩の影響の範囲を特定することが重要ですね。

    二次被害の防止策・抑制措置

    二次被害の防止策はいつ講じるべきですか?

    お客様からのクレームや問い合わせといったきっかけから個人情報の漏洩が発覚した際には、可能な限り早く二次被害を防止するための対策を講じるべきです。
    迅速な対応は漏洩被害のさらなる拡大を防ぐだけでなく、漏洩を発生させた企業の損害賠償責任などの負担を軽減することにもつながります。

    特に迅速な対応が必要な場合について教えてください。

    特に注意したいのは、お客様のクレジットカード番号やセキュリティコードを含む情報が漏洩した場合です。
    クレジットカード番号の非保持化が徐々に広がっていますが、自社のECサイトで入力されたクレジットカード番号を保有している場合は要注意です。
    まずは、クレジット決済サービスの提供を受けている決済サービス会社に漏洩が発生したことを連絡しましょう。
    その後の対応については、3.個人情報の漏洩についての当局報告4.個人情報の漏洩についての本人通知を参照してください。

    漏洩した顧客名簿がネット上の掲示板にアップロードされていることがわかった、という事案ではどのような措置を講じるべきでしょうか?

    漏洩した個人情報がネットの掲示板やSNS上にアップロードされている場合には、アップロードした者やWEBサイトの運営者に投稿を削除するように求めるべきです。
    投稿者の特定や完全な削除が困難なケースもありますが、大手の掲示板サイトやブログサービスでは、プライバシーの侵害につながるおそれがある投稿の自主的な削除を行っています。

    不正に持ち出された取引先名簿の悪用を防ぐには、どのような法的手段が考えられますか?

    不正アクセスや従業員の持ち出しのケースでは、その行為者や情報を譲り受けた第三者に対して法的に個人情報の利用停止・削除を請求できることがあります。
    例えば、不正競争防止法では、営業秘密を不正取得した者や不正取得に悪意・重過失のある譲受人・転得者がその営業秘密を使用・開示する行為(同法2条1項4~10号)について、差止請求として、営業秘密侵害の停止・予防(同法3条1項)と媒体や複製物の廃棄・除去(同条2項)を請求することができるとされています。

    不正競争防止法に基づく差止請求について詳しく教えてください。

    従業員が取引先名簿を不正に持ち出して名簿業者に売却したケースを例に説明しますね。
    漏洩が発生した企業としては、その従業員と名簿業者に対して、営業秘密である取引先に関する情報を利用したり、第三者に提供したりしないように請求することができます。
    さらに、停止・予防請求に付随して、取引先名簿やそのコピー、取引先に関する情報の記録されたUSBやパソコンなどについても廃棄・除去することを請求できます。

    個人情報の漏洩が発覚した場合には、警察に相談すべきでしょうか?

    場合によっては警察に届け出ることも検討しましょう。
    パソコンやスマートフォンを紛失した場合には遺失届を、それらが盗まれた場合には盗難の被害届を提出します。
    また、従業員の不正な持ち出しのケースでは、個人情報データベース等提供罪や営業秘密侵害罪の成立、不正アクセスがあったケースでは不正アクセス禁止法違反、名簿業者からの不正な金銭などの要求があったケースでは恐喝罪や脅迫罪の成立が考えられるため、警察に被害届を提出することを検討すべきです。(個人情報保護法174条、不正競争防止法3条、4条、21条1項各号、刑法222条1項、249条1項)

    二次被害の防止策を検討する上で意識すべき点はありますか?

    事案ごとに採るべき二次被害の防止策・抑制措置は全く異なるため、初期段階の調査とそれを踏まえた検討が重要です。
    他方、調査や検討に時間をかけすぎると被害が拡大し、対策を講じる頃には手遅れになっている可能性があります。
    そのため、5W1Hを意識したメリハリのある調査と対応の迅速さのバランスが大切であると言えますね。

    漏洩の公表方法について教えてください。

    プレスリリースなど文書として公開する方法のほか、記者会見や取材など口頭で発表する方法も考えられます。
    インターネット上でプレスリリースを公開する場合には、ホームページのトップページ、またはトップページから一回の操作でアクセスできるページに掲載するのがよいでしょう。
    記者会見を行う場合には、事前にマスコミや報道機関に対して公表する内容をFAXすることが多いです。
    取材については電話ではなく、なるべく対面での形式で行うようにし、複数の取材申し込みがあったときには記者会見を行うことを検討しましょう。

    漏洩の公表をする際のプレスリリースには何を記載するのが一般的ですか?

    次のような項目を記載するのが一般的です。
    顧問先企業のみなさまにはサンプル文を提供していますので、万一の際はおっしゃってください。

    1. 序文・謝罪
    2. 概要・経緯
    3. 漏洩した個人情報の項目・本人の数
    4. 漏洩の原因・二次被害
    5. 今後の対応・再発防止策
    6. 問い合わせ窓口に関する情報

    当局報告・本人通知・公表に際しての注意点を教えてください。

    当局報告・本人通知・公表の際にも、初期対応と同様に情報を一元的に管理して回答内容に矛盾が生じないようにすることが重要です。
    特に漏洩を公表する際には、対外的な窓口を一本化し、公表の内容と問い合わせや取材に対する回答の内容に齟齬が生じないようにしましょう。
    また、再発防止策の検討には、特にどのような経緯で漏洩したのか(Why、How)についての詳しい情報が必要不可欠であるため、二次被害の防止策と並行して、より綿密な調査・分析を実施することが重要です。

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    詳しいプロフィールはこちら お問い合わせ
    この記事をシェアする

    関連リンク

    「個人情報保護法のWEB弁護士相談 - 漏洩対応編 -」(記事一覧)
    関連業務のご紹介
    個⼈情報・マイナンバー

    個⼈情報・マイナンバー

    個人情報保護法/番号法/漏えい対応/データ利活用/セキュリティ/データマッピング

    詳しくはこちら

    ご依頼までの流れ

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。