個人情報漏洩が発覚した後に行うべきステップとは?
その後、該当顧客にむけて通知を行い、事後対応を行います。
ここでは、企業側が個人情報の漏洩をしてしまった場合の行動を解説します。
もし、自分が勤めている会社、もしくは経営している会社で個人情報漏洩が起こってしまったらどうすればよいか、また、個人情報の漏洩が起きていることが想定できる状況に陥ったときにどうすればよいかステップ順に解説します。
- 目次 -
個人情報漏洩インシデントを起こしたら?
消費者生活を送るにあたり、個人情報を企業に提供するのは当たり前の世の中です。
どんな業種にお勤めの方でも、個人情報は身近です。
つまり、どんな方でも、社会に出て働いていたら、個人情報漏洩インシデントを起こしてしまう可能性があるということです。
事業主の方も、いつご自分の会社が個人情報の漏洩インシデントが起こってもおかしくありません。個人情報の漏洩事故は年々増加しています。
事業者も、企業にお勤めの方も、個人情報漏洩インシデントを起こしたらどうしたらよいのか、こちらで学んでいきましょう。
ステップ1・まず報告!体制は整っていますか
企業にお勤めの方が、業務を行っているうえで情報漏洩の兆候や、不具合、具体的な事実を確認した場合、可及的速やかに責任者に報告をしなければいけません。
ですので、事業者はその報告のために社内で体制を整えておきましょう。
こうした個人情報漏洩の自体が起きた場合を想定し、対策の責任者やチーム員は、あらかじめ任命しておくのがベストです。
- 「報告できるような業務状態じゃない」
- 「怖いから見なかったことにしよう」
- 「些細なことだから別に報告しなくてもいいか」
- 「自分が叱責されるのがいやだなぁ」
従業員がこう思ってしまい、報告が遅れてしまったら、個人情報漏洩の被害が拡大し、取り返しのつかないことになってしまいかねません。
スムーズに責任者に報告できる人間関係や、会社の損失をこれ以上拡大させないという責任感を社員一人一人が持っていることも重要です。
ステップ2・個人情報漏洩の事故状況を把握しよう
個人情報漏洩の原因は、はじめにしっかり把握しなくてはいけません。
USBの紛失、メールの設定ミス、サイバー犯罪によるものなど、個人情報漏洩の原因は多岐にわたります。
「誰が」「どうして」、「いつ」、「どこで」「何が起こって」「どんな個人情報を」「どれくらい漏洩してしまったのか」ということがすぐに分かるような報告書の定型書式なども、きちんと作成しておきましょう。
例えば、以下のような形です。
- 「誰が:営業部のAさんが」
- 「どうして:社用スマホの紛失をしてしまった」
- 「いつ:○月○日の退社後およそ○時頃」
- 「どこで:おそらく電車内(気づいたのは○○駅構内)」
- 「何が起こって:盗難もしくは置き忘れ」
- 「どんな個人情報を:スマホのデータ(顧客の名前と電話番号と住所など)」
- 「どれくらい漏洩してしまったのか:○○件分」
こうした報告所の形式は、各個人情報保護団体でもすすめています。
また、ビジネス上、簡潔で分かりやすくすることは重要です。これ以上の詳細は、別に報告書を作成しましょう。
ステップ3・初動の対応は迅速に
個人情報漏洩の事故状況の報告を共有したあとは、この事態による被害の拡大を阻止し、二次被害の防止のために策を練り、即断実行します。
これも、あらかじめある程度、個人情報漏洩のインシデント対応計画を作成しておき、その対応策に従うようにすればよりスピーディな対応が取れます。
例えば、
@紛失などよる個人情報漏洩の対処のケース
パソコンや USBメモリ等を公共の場で紛失、もしくは盗難に遭った場合は、警察に紛失・盗難届けを出します。
また紛失物の捜索、回収のために動きましょう。パソコンやスマートフォンなどを紛失した場合は、遠隔操作で利用できなくする対処も行います。
A設定ミスなどによる個人情報漏洩の対処のケース
誤った操作や、設定ミスなどで、情報が外部に公開をしてしまったり、アクセスが可能になってしまっているような場合は、すぐに公開を停止したり、外部からのアクセスを遮断するように対処します。
また、必要があれば、サービスの停止なども行います。
Bサイバー攻撃などによる個人情報漏洩の対処のケース
サイバー攻撃を受けた端末の特定をしてネットワークから切り離します。
不正プログラム等の検出と削除を行い、脆弱性があった部分の対処を行いましょう。社内のみで対応できない場合は信頼できる第三者のセキュリティ技術業者を選定します。
さらに、流出や紛失してしまった情報が、復旧もしくは修復ができるかどうかも試しましょう。
ステップ4・謝罪と公表を行いましょう。
重大な個人情報の漏洩事故は企業内にとどめていてはいけません。
誠意を持って該当の方々への謝罪や、外部へ周知する姿勢が必要です。
すべての関係者へ個別の報告が困難な場合や、個人情報の漏洩によって大きな二次被害が及ぶと考えられる場合などは、ホームページや記者発表による情報公開を行いましょう。
もし、事故を公表せず状態で何もしないでいると、個人情報の流出をしてしまった顧客への被害がより甚大なものとなってしまいます。
また、ひどいバッシングとなり株価などにも影響が起こることも考えられます。できるだけ速やかに、起こってしまった事故を謝罪し、今後の方針を打ち出しましょう。
とはいえ、公表のタイミングを見極めることも大切です。
できるだけ速やかな発表はマストではありますが、顧客へ大きな不安や誤解を生まないように心掛けつつ、公表タイミングをみはからうべきです。
紛失や盗難のほかに、不正アクセスによるもの、内部の犯行、脅迫等不正な金銭の要求など、違法性・犯罪性がある場合は警察へ届け出ましょう。
警察に通報できる証拠がない、と言う場合は、端末調査やコンピューターフォレンジック調査などができる第三者に依頼し、届出ができるように証拠取得調査を行いましょう。
ステップ5・再発防止を実施
今後、二度と個人情報の漏洩を起こさないために、具体的な対策を練りましょう。
こうした対応策を練ることは、情報漏洩に関する責任者やチーム員だけではなく、セキュリティの専門家と協議していくのがおすすめです。
事故を減らすためには、情報にアクセスや持ち出しできる人員を制限する方法などがあります。情報そのものを暗号化したりするのも有効です。
また、技術的な脆弱性が原因のときは、内部の技術チームだけではなく、専門業者と協力する方法もあるでしょう。
従業員には、セキュリティ意識を高める学習機会も必要です。
- PCを開きっぱなしでトイレにいく
- USBに社内の情報をコピーして家で仕事
- 社外秘の書類を複製してしまう
などといった、従業員が悪気なく行っている行為が、個人情報の漏洩につながるのだと意識してくれるでしょう。
また、
個人情報の漏洩は、サイバー攻撃など以外では、社内の人間による故意のものもありますので、そのケースでは社内の座席の配置、書庫やコピー機などのレイアウトも考え直す必要が出てくることもあるでしょう。
勤めている会社が事故を隠蔽しようとしていたら?
もし、勤めている会社が個人情報の漏洩を隠蔽しようとしていたら、内部告発という手があります。
社内の匿名が守られるホットラインなどがあれば、それで監査部などに告発しましょう。
これができない企業であったり、自分が告発したことを絶対にばれたくない、と言う場合は、消費者庁で適した相談窓口等を紹介してくれるはずです。
消費者庁では、公益通報者保護制度という、企業の不祥事によって消費者の財産や生命の被害拡大を防止するために通報する人を保護するルールを明確にしています。
直接問い合わせるか、インターネットで調べてみましょう。
