【第4回】弁護士法人Martial Artsの「EC相談室」〜個人情報流出!その時、どうする?〜
弁護士法人Martial ArtsがEC事業に関するお悩みに答えるコラム。第4回は、個人情報の流出について。最近ニュースでも耳にすることの多いこの話題、EC事業者として万が一の際に備えておくべき点を詳しく解説します。
【ご質問】
最近,顧客情報の流出のニュースが多く,当社でも他人事ではないと感じます。対策はしているのですが,万が一個人情報が流出してしまった場合,どのような対応が必要になるのでしょうか。商品券等を送付するケースもあるようですが,そのような対応は必要なのでしょうか。
★EC事業者様からの質問募集中★
https://ecnomikata.com/admin/inquiry.php?form_id=144
※コラム『弁護士法人MartialArtsの「EC相談室」』への質問である旨の明記をお願いいたします。
【第1回】メルマガ配信に関する法規制
https://www.ecnomikata.com/column/11354/
【第2回】サイトコンテンツの「パクり」にどう対応する?
https://www.ecnomikata.com/column/12079/
【第3回】スタッフの肖像権やプライバシー
https://www.ecnomikata.com/column/13080/
第1 はじめに
1 個人情報保護の重要性
貴社が問題意識をお持ちのように,昨今,個人情報漏洩はニュースでも頻繁に報じられ,社会問題となっているところです。NPO日本ネットワークセキュリティ協会『2013年 情報セキュリティインシデントに関する調査報告~個人情報漏洩編~』によれば,2013年の1年間では,情報漏洩の発生は1333件にのぼり,延べ931万2543人分の個人情報が漏洩しました。1件あたりの漏洩人数は7385人分と,前年に比べ1.7倍以上に増加しています。多数の情報漏洩が現に発生し,大きく報じられているということは,逆に言えば,それだけ,個人情報保護の重要性が社会的にも広く認識されているということでもあります。
法制度としては,「個人情報の保護に関する法律」(以下,「個人情報保護法」といいます。)が平成17年4月から全面的に施行されており,平成28年には大改正も行われ,その重要性はますます高まっています。
2 貴社は「個人情報取扱事業者」です
貴社において管理・利用されているお客様の氏名・連絡先等は,個人情報保護法にいう「個人情報」にあたります。そして,個人情報を自らの事業のために用いている企業は,「個人情報取扱事業者」と呼ばれ,この法律が適用されます。
なお,現行法では,過去6ヶ月間継続して,個人情報を管理しているデータベースから識別できる個人データ(顧客データに限らず,従業員の情報なども含みます)の数が5000人分以下である企業は個人情報保護法の対象外ですが,平成29年5月30日から全面施行される改正法ではこの例外が廃止され,個人情報を取り扱うすべての事業者が同法で規制されることになります。
3 情報漏洩に対する「対応」とは
さて,万が一情報漏洩が発生したとき,企業としてどう対応すべきでしょうか。お客様への対応や損害賠償,復旧作業などが真っ先に思い浮かびますが,二次被害の防止や公表など,漏洩経路や規模に応じた対応が必要となります。
それでは,具体的な対処のポイントを以下でみていきましょう。
第2 初動対応が非常に重要です
今,顧客情報が漏洩していることが発覚したとします。このとき,事故対応を行う組織の責任者が,情報漏洩の事実を確認し,発覚した経緯を辿るなどして被害の規模や原因をある程度特定し,その後の対応を決定することが必要です。ここまでが「初動対応」です。
①いつ,②どの情報が,③何件,④どこから,⑤どのように,⑥なぜ漏洩したのか,早急に出来る限りの特定をしてください。その上で,今後の対応に向け,社内のリソース配分を行います。統率の取れた対応を行うためには,社内に対策本部を設置することが考えられます。具体的な対応については,例えば復旧作業は情報管理を行う部署に,事実の公表等は広報を行う部署に,など,貴社における既存の部署に担当させてもよいでしょう。それでは効果的な対応ができないと見込まれる場合は,臨時のチームを作る,社外に第三者委員会を設けることも考えられます。その後の対応を誤り,無用な被害拡大を招かないためにも,責任者が統括して初動対応を行うことが重要です。
原因特定の参考として,以下に,個人情報漏洩の原因別・媒体別割合のグラフを引用します(2013年時点。公務や他のサービス業における事故のデータも含みます)。
誤操作や管理ミスなど,内部の人為的ミスが原因の約8割を占めることが特徴的です。
初動対応が完了したら,そこで決定された方針に基づいて社内外の対応を行っていくことになります。このとき,まず注意したいことは,事実の公表を行うタイミングです。必ず,情報が漏洩してしまった被害者に対する個別の通知・謝罪を行ってから,マスコミ等への公表を行ってください。個別の通知を行わないまま情報漏洩が報じられてしまうと,お客様に不安や混乱を生じさせることになりかねない上,適切な個別対応を行っていないということで「炎上」してしまうおそれもあります。
第3 情報漏洩からの復旧等
情報漏洩の被害を食い止め,今後において情報を漏洩させないためにどのような対応を行うべきか,大きく分けて2点を以下にご紹介します。
第一に,二次被害を防止することです。具体的に何を行うべきかは,情報漏洩の経路などによって異なりますが,代表例を以下にお示しすると,例えば,インターネット上への誤掲載やEメールの誤送信であれば,可能な限り削除し,又は削除を依頼することが考えられます。
データの管理をしているコンピュータや記憶媒体が紛失・盗難に遭った場合には,コンピュータ等を動かせないようにできるのであれば動かせないように対応したうえで,警察にも届け出るべきでしょう。ウイルス等によりネットワーク経由で情報が漏洩した場合は,貴社のシステム自体をネットワークから遮断することも必要になってきます。
漏洩した情報の中にクレジットカードや銀行口座番号が含まれている場合には,お客様に通知するほか,クレジットカード会社や銀行に連絡して不正利用を防止する必要があります。
第二に,事実の調査を行い,原因を究明することです。初動対応において,漏洩した情報やその原因についてはある程度判明しているところではありますが,これ以降の事後対応を確実に行い,再発防止策を講じ,お客様をはじめとする関係者への報告を適切に行うためにも,詳細に究明しつくすことが重要です。調査チームを設けるなど,一定の人員を割いて対応すべきです。
第4 情報漏洩に関する事実等の開示
1 どのような開示を行うか
情報漏洩に関する事実関係や再発防止策の内容については,各利害関係者に対して開示することとなります。誰に対しどのような開示を行うのか,以下で簡単にご紹介します。なお,開示は,以下の(1)から(3)の順番に行うことが望ましいと考えられます。
(1)被害者への連絡・謝罪
情報を漏洩させてしまったお客様が判明したら,そのお客様に対して,①情報漏洩の原因,②漏洩した情報の内容,③謝罪の意,④どのような事後対応を行うか,⑤問い合わせ先等をお伝えします。また,情報漏洩の程度・範囲によっては,二次被害への注意を喚起することも考えられます。
(2)主務大臣への報告
情報漏洩の事実関係等については,事故報告書などをもって主務大臣(通信販売事業者の場合には経済産業大臣)に報告を行います。報告すべき事項については,下記2で引用している構成例を参考にしてください。
(3)事実関係等の公表
マスコミ等に事実関係や再発防止策等を公表することは,企業の社会的責任を果たす意味もあるほか,今後類似の事件・事故が発生することを防ぐためにも重要な意味を持っています。公表に際しては,その社会的影響力の大きさからも,表現方法には特に慎重を期すべきです。無用な混乱や誤解を避けるため,開示すべき事項や表現内容は統一するようにしてください。表現内容については,第三者のチェックが有用ですし,法的リスクがある場合や判断に迷う場合は,弁護士にリーガルチェックを依頼することも検討に値すると考えられます。
また,マスコミ等への公表にあたっては,その方法,タイミングについて特に考慮すべきことがあります。それは,早急に事実の公表を行うという要請に応えることと,公表を行ったことそれ自体による二次被害の防止とのバランスを取ることです。
二次被害の防止との関係では,公表に先立って,お客様への対応や調査がすべて終わっていることまでは必要でないとしても,最低限,マスコミ等から当然寄せられることが予想される質問に対し,一通りの答えを準備できる程度には,調査や二次被害防止の対応を行っておくべきです。一方,公表に慎重になるあまり適切な時機を逸してしまうと,隠蔽しようとしたのではないかとの誤解を招いたり,非難の対象となったりしてしまうこともあります。事案に応じた微妙な判断が求められるところです。
2 参考:事故告知・謝罪等の構成例
参考として,以下に,独立行政法人情報処理推進機構が公表しているマスコミに公表する際の一般的な留意事項,事故告知・謝罪などの構成例を引用しますので,ご参照ください。
(引用はじめ)
マスコミへの公表
マスコミへ公表する際には,「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」改定に伴う「事実関係,再発防止策等の公表」の考え方を考慮し,対応方法を検討する。
~以下抜粋~
(カ)事実関係,再発防止策等の公表
二次被害の防止,類似事案の発生回避等の観点から,個人データの漏えい等の事案が発生した場合は,可能な限り事実関係,再発防止策等を公表することが重要である。
ただし,例えば,以下のように,二次被害の防止の観点から公表の必要性がない場合には,事実関係等の公表を省略しても構わないものと考えられる。なお,そのような場合も,類似事案の発生回避の観点から,同業種間等で,当該事案に関する情報が共有されることが望ましい。
・影響を受ける可能性のある本人すべてに連絡がついた場合
・紛失等した個人データを,第三者に見られることなく,速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合
・漏えい等をした事業者以外では,特定の個人を識別することができない場合
(事業者が所有する個人データと照合することによって,はじめて個人データとなる場合)
事故告知,謝罪などの構成例
外部向け(プレス,個人宛など)の告知,謝罪に含まれるべき項目
序文(発生した情報漏えい事故に関する謝罪,今後の会社としての取り組みなど)
事故発生に関する状況報告
事実経緯
漏えいした情報の内容
事故の被害内容(二次被害の影響含む)
事故原因
当面の対応策
再発防止策
問い合わせ窓口(事故に関する連絡先)
官庁向け事故報告書に含まれるべき項目
事業社名
発覚日
事故原因
漏えいした情報の内容
事故の被害内容(二次被害の影響含む)
警察届出有無
個人への連絡
再発防止策
(引用おわり)
(引用元:独立行政法人情報処理推進機構『情報漏えいインシデント対応方策に関する調査報告書』)
第5 お客様への事後対応
1 事後対応にはどのようなものがあるか
お客様に対する事後対応には様々なものがありますが,最も多く行われるものは,問合せ窓口の設置や,個別の説明・相談です。その他に,金券等を配布することや実際の損害を賠償することもあります。また,会員番号などを発行している企業では,会員番号が悪用され,会員としての特典等を不正利用されるといった被害を防ぐため,会員番号を再発行する対応を行った例もあります。
2 情報漏洩事故が裁判になった場合
大規模な個人情報漏洩事故では,被害者であるお客様側が損害賠償を求めて裁判になるケースもあります。この場合,損害賠償額(慰謝料)は,漏洩した情報の性質,漏洩による被害の程度,事故後の企業の対応などを考慮して決定されます。
例えば,インターネット接続等の会員として登録された顧客の氏名・住所・メールアドレス等を管理しているサーバーが外部からアクセス可能な状態になった事案(大阪地裁平成18年5月19日判決)では,流出した情報の秘匿性がそれほど高くないこと,企業がすぐに事実を発表し,情報を不正取得された顧客には個別連絡をしたこと,全会員に500円の金券を交付する等の対応をし,セキュリティ強化を行ったことを考慮して,一人あたりの慰謝料が5000円と判断されました。
エステサロンの顧客の氏名・連絡先や申込コースの内容が広くインターネット上に流出した事案(東京地裁平成19年2月8日判決)では,企業も情報流出を食い止める措置や謝罪メールの送信を行ったものの,この事故で流出した情報が悪用され,顧客に多数のいたずら電話や迷惑メールが届いたことから,一人あたりの慰謝料が3万円とされました(二次被害の事実が認められず,情報漏洩に関して既に企業から3000円の支払を受けていた顧客については,慰謝料は1万7000円とされました)。このケースでは,慰謝料が他の事例と比べて高くなりましたが,その一因として,本件で流出した情報からは,その本人がエステに関心があるということが分かってしまうため,その部分が本人にとって,より知られたくない事実であって,被害の程度が大きいと判断されたものと考えられます。
3 商品券を配布することが必要か
前述のとおり,金券等を配布することは,様々ある事後対応の一つであり,法律上要求されるものではありません。
しかし,金券等の配布は,直接的にはお客様の損害をカバーする役割があることはもちろん,迅速・一律に行うことで企業の社会的信用の回復をねらう効果もあります。また,ひいては,訴訟の回避につながるともいえるでしょう(ただ,上記裁判例のように,金券配布を行ったにもかかわらず,訴訟が提起された例もあります。)。
実際に金券が配布された例としては,企業の株主用サイトに登録した株主の氏名・連絡先等が漏洩した事例で,情報が漏洩した株主に対して1000円分のクオカードを配布したもの,企業内部の者が顧客情報のデータベースを盗み名簿業者に売却した事例で,顧客5万人に対して1万円分の金券を配布したものがあります。後者の事例は,当初売却された個人情報がさらに100社近くの会社にまで転売されてしまったこと,顧客にも二次被害が生じたこと,内部者の犯罪行為による漏洩でありニュースでも大きく報じられたこと等の事情から,高額の金券の配布という対応が行われました。
上記でご紹介した大阪地裁判決では,会員全員に500円分の金券を交付していたことが慰謝料を決める際に考慮されており,裁判になった場合にも企業側に有利な事情となるものです。大規模な漏洩事故においては,十分検討に値する対応であるといえます。
もちろん,金券配布にはそれ自体多額の費用がかかることもあって,情報漏洩事故の全てで実施されているわけではありません。費用対効果を見据えて判断することになります。
第6 情報漏洩後の,社内における対応
初動対応,復旧,事実の公表,お客様への事後対応を経た後は,社内で再発防止策を実施することになります。今後,同じような原因で情報を漏洩させることは許されません。情報管理システムのセキュリティを強化すること,アクセス権限のある従業員を限定し管理・監督を徹底することなどが考えられます。また,従業員全体に対して事実関係の周知を行い,セキュリティ意識を高めることも重要です。
第7 おわりに
以上,万が一の情報漏洩にどう対応するか,そのポイントをご紹介しました。しかし,もしもの事態を想定しつつ日頃から十分対策を行い,結果として情報漏洩が発生しないことが最も望ましいことです。今回ご紹介した内容が,貴社において,お客様の大切な個人情報を守るための一助となれば幸いです。