個人情報保護・情報漏洩

自社で保持する個人情報が流出した場合、どう報告すればよいでしょうか？また、流出した情報の影響範囲を探るため、どのような調査をすればよいですか？

自社で保持する個人情報が流出した場合、まずは速やかに被害者に対して報告することが必要です。報告は被害者に対して直接行うほか、被害者に代わり顧客サービスを提供する事業者等に対して報告することもできます。また、個人情報の漏洩が懸念される場合には、国や自治体等にも報告する必要があります。



被害者に対して報告する場合、報告項目としては、以下のようなものが挙げられます。



1. 漏洩した個人情報の種類

2. 漏洩した個人情報の量

3. 漏洩した個人情報の収集元

4. 漏洩の原因

5. 漏洩により被害者に生じる可能性がある被害の内容

6. 被害者に対する補償等の措置



また、報告時期については、原則として漏洩が確認された時点から72時間以内に行うことが求められます。ただし、被害者が非常に多数の場合や情報量が多い場合には、報告を行うのに時間がかかることがあるため、事情に応じて延長することもできます。



なお、流出した情報の影響範囲を探るために行う調査については、以下のようなものが考えられます。



1. 漏洩した情報の種類や量の確認

2. 漏洩した情報がどのように漏洩したのかの調査

3. 漏洩した情報を受け取った可能性のある第三者の特定

4. その他被害の内容等の事実確認

5. 被害状況の把握に必要な調査や証拠収集



調査にあたっては、必要に応じて外部の専門家に相談し、能力を超えた調査や証拠収集等については、警察等の公的機関に依頼することも考えられます。



以上が自社で保持する個人情報が流出した場合についての報告や調査についての考え方ですが、最近は個人情報保護法の改正に伴い、個人情報漏洩に対する事業者の責任が強化されました。従って、流出を未然に防ぐことが重要であるとともに、もし流出した場合には適切かつ迅速に対応することが求められます。