個人情報保護・情報漏洩

自社の社員が個人情報を不正に閲覧した場合、どのように対応すればよいでしょうか？もし被害が発生していた場合、どういう責任を問われる可能性がありますか？

個人情報の保護については、個人情報保護法が明確なルールを定め、その遵守が求められています。一方で、社員が不正行為を行った場合、企業は迅速かつ適切な対応が求められます。ここでは、不正行為が発覚した場合の対応と、被害が発生した場合の責任について解説します。



不正行為が発覚した場合の対応



企業が個人情報保護法を遵守している場合、不正行為が発覚したら次の5つのステップを踏むことが望ましいです。



1.事実確認

まずは事実を確認する必要があります。具体的には、どの程度の情報が閲覧されたのか、何の目的で、どのような手段や利益があったのかを把握することが大切です。その情報が外部に漏れた可能性がないかも確認しましょう。



2.対象者の処遇

不正行為を行った社員に対しては直ちに処分する必要があります。不適切な情報の閲覧、提供、改竄等があった場合、懲戒処分や解雇などの措置を検討してください。



3.被害の判定

被害の有無を確認し、必要に応じて対象者に通知する必要があります。不正行為によって取得した情報を第三者に提供された可能性がある場合は、被害の範囲を調査し、保険会社や有識者に相談してください。



4.報告と速やかな対応

不正行為を発見した場合は、速やかに本部や上層部に報告し、適切な対応を講じます。報告内容については、誰に、どのように、どの程度を報告するかを慎重に判断しなければなりません。



5.再発防止策

不正行為が発覚した場合、再発防止策も実施する必要があります。これには、社員教育の強化、組織のシステム改善などが含まれます。また、その他には、個人情報管理責任者の指定、監査体制の確立、情報セキュリティポリシーの策定などがあげられます。



責任の問われる可能性



個人情報保護法は、個人情報を不適切に取り扱うことで、企業に罰則を課することができる法律です。この法律に従わない企業は、最大で2年以下の禁錮刑、または最大で2000万円以下の罰金が科される可能性があります。以下に、責任を問われる可能性がある項目について解説します。



1.個人情報保護法違反

不正行為が発生した場合、個人情報保護法に違反している可能性があります。個人情報保護法は、個人情報に関する事項について適切な管理を行うことを課しています。社員による不正行為は、企業がその管理措置が適切でなかったことを意味し、そのため、適用されます。違反が認められた場合、罰金刑または刑事罰が科される可能性があります。



2.民事責任

不正行為が原因で、利用者や取引先などから損害賠償を請求される可能性があります。ここで、損害として考えられるのは、損失や精神的苦痛、名誉毀損などです。



3.刑事責任

個人情報保護法違反以外にも、社員による不正行為が盗聴や盗難、詐欺行為や詐欺罪などの犯罪行為に該当する場合もあります。この場合、刑事責任が課される可能性があります。



まとめ



個人情報の保護には、企業にとって非常に重要な役割があります。不正行為が発生した場合、無責任に放置せず、被害に対する責任を取る必要があります。個人情報保護法を遵守し、不正行為があった場合は、迅速かつ適切な対応を行い、再発防止策も実施することが基本的な対応といえます。また、不正行為によって損害が生じた場合は、民事責任や刑事責任が問われる可能性もあるため、事前に適切な対策を講じる必要があります。