個人情報保護法に向けて(6)　 個人情報が洩れてしまったその時

個人情報を社内でいかに取り扱えばよいかみてきました。対策をすることにより、個人情報漏洩のリスクを下げることはできますが完全ではありません。個人情報が万が一洩れた時にどうすればよいかシミュレーションをしておくことをおすすめします。

生活用品を製造・販売している会社に電話がかかってきました。

個人情報保護責任者を任命する。

個人情報取扱台帳を元に社内で個人情報をどう取り扱っていくか個人データ取扱規定を定めます。規定では作業ごとに作業責任者を定めていきますが、会社全体を統括する責任者が必要です。責任者は個人情報に関する苦情処理など対外的な窓口になります。社内に色々な指示を出し、対外的な説明も行いますので一般社員ではなく役員クラスを任命します。社内教育の責任者にもなります。

大手企業では最高情報セキュリティ責任者（CISO:Chief Information Security Officer）として個人情報を含めたセキュリティ全般を見る担当役員を任命するケースが増えていますが、その中小企業版となります。個人情報漏洩の第一報は色々なところから入ってきます。個人情報を漏洩された本人から、個人情報が入った鞄を紛失してしまったという社員の届出、個人情報が出回っていると第三者からの通報などです。

実際には扱っている商材や会社の形態により対応は千差万別となります。当社ではどういうケースで個人情報漏洩が発生するケースが高いか、発生した時に2次被害を防ぐ方策として何が考えられるか、後から調べられるようにデータをどう残しておけばよいか検討しておきます。

想定マニュアルを事前に作っておく

重要なのは万が一発生した時に落ち着いて対応できるよう想定マニュアルを作成しておき、マニュアルに従って行動することです。第一報が入ればまずは個人情報保護責任者に連絡をします。責任者がつかまらなければ社長に連絡をいれます。連絡手順についても想定マニュアルに記載しておきます。両者ともつかまらないようなことがないように1日24時間携帯電話の電源を入れておいてもらう等、対応してもらいます。個人情報漏洩は時間が経てば経つほど2次被害が拡がり、また事態が思わぬ方向に発展していきます。責任者が手早く対応するのが王道です。

情報漏洩を断ち公表する

第一報が入った時、最初に個人情報のさらなる漏洩を断ちます。もし手違いで自社サイトに個人情報が表示されてしまっている場合等は、自社サイトの運用を止めインターネットから切り離します。また顧客のクレジットカード番号等が漏れた場合は2次被害が心配されますので、その場合はすぐに事実関係を公表します。

次に情報を収集し、原因を明らかにし、その内容を公表します。具体的には、漏洩が疑われる被害者へ謝罪と個人データのどの項目がどのぐらいの人数漏れたか等の経緯を書いた内容をメールまたは手紙で送信します。またホームページに謝罪と事情説明を掲載します。まずは情報公開により被害者の不安を沈静化させます。

あわせて社内の苦情窓口の電話番号、メールアドレス、対応する開設日や開設時間をホームページ等に掲載します。次に漏洩者が特定できる場合は責任の追及を行います。また被害者から民事責任が問われる可能性もあります。この場合は弁護士等の専門家に相談します。下手な対応をすれば会社の信頼を失って、それこそ命取りになります。リスクマネージメント体制をしっかり作っておくことが大切です。

生活用品を製造・販売している会社に電話がかかってきました。