顧客情報が流出してしまった場合の対応

危機管理・コンプライアンス

 私が役員を務めている会社において管理している顧客リストが流出してしまいました。原因について調査していますが、現時点では不明です。このような場合に、当面、どのような対応が求められるのでしょうか?

 顧客情報の流出事件に対して、近年、社会的な危機意識が高まっていることなどを踏まえた対応が求められます。
 ただちに、事実関係を把握するための初期調査を実施した上で、流出した情報を回収するなどして被害拡大を防止することができないかを検討して、適切に対応する必要があります。
 流出した情報の回収が難しく、更なる情報流出や二次被害が懸念されるような場合には、顧客本人への対応、主務大臣などへの報告、事実関係や再発防止策等の公表、問い合わせ窓口の設置等について検討することになります。

解説

 はじめに

 近年、情報通信技術が飛躍的な進展を遂げたことから、企業が多種多様なパーソナルデータを収集・分析することができるようになりました。さらに、平成27年10月のマイナンバー制度の施行に伴い、より幅広い個人情報の利活用に注目が集まっています。
 同時に、個人情報の健全な流通、安全安心な利活用の仕組みの整備に対する社会的な要請も強まっています。
 平成26年に発覚した、いわゆるベネッセ事件を契機として、顧客情報の流出事件に対する社会的な危機意識が高まったことを踏まえて、平成27年9月に個人情報の保護に関する法律(以下「個人情報保護法」といいます)が改正され、個人情報の取扱いに関する監視または監督等を所管する個人情報保護委員会が創設されるとともに、個人情報データベース等を不正な利益を図る目的で提供・盗用した者に対するデータベース提供罪も新設されました。
 このように個人情報の管理には一層の厳格さが要請されている中で、企業の管理する顧客情報が流出するという事態が起きた場合には、迅速かつ適切な対応が求められます。

事実関係の調査

 まず、顧客情報の流出またはその可能性があることが判明した場合には、直ちに事実関係を把握するための初期調査を実施する必要があります。
 流出した顧客情報の種類・範囲、顧客情報流出の態様・原因等について早期に把握することは、顧客情報流出による影響の範囲を見積もった上で、企業としてどのような対応をすべきかを判断するために重要な意味を持つといえます。

被害拡大防止のための対応策

 次に、速やかに、被害拡大防止のための対応策を講じる必要があります。

具体的な対応策

 どのような対応策を講じるべきかについては、基本的には、流出した情報を回収することができないか、更なる顧客情報の流出や二次被害が生じないような手当てを行うことができないかという発想で検討することになりますが、具体的な対応策は、顧客情報流出の原因によって異なります。  

顧客情報流出の主な原因

 顧客情報流出の主な原因としては、紙媒体の紛失・誤送信・盗難や、ウイルス感染・不正アクセスによる電子データの流出などが挙げられます。

紙媒体の紛失・誤送信・盗難の場合

 例えば、紙媒体で管理していた顧客名簿等を誤って取引先に送付したような誤送信の場合には、速やかに誤送信した紙媒体の返還を受けて情報を回収するとともに、当該取引先から顧客名簿等の内容が流出しないよう適切な措置を講じるよう依頼して更なる流出が生じないような手当を行うことが必要になります。

ウイルス感染・不正アクセスによる電子データの流出の場合

 これに対して、サーバーに外部からの不正アクセスがあり顧客名簿が窃取されたような不正アクセスの場合には、電子データはコピーが容易であるため情報を回収することは困難で、流出の規模も大きくなりがちです。可能な限り流出した顧客情報の範囲の把握に努めた上で、二次被害の防止のための顧客本人への連絡や事実関係の公表について検討することが必要になります。

顧客本人への対応

 顧客情報が、個人情報保護法2条1項1号所定の「個人情報」、すなわち、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」に該当すると判断できる場合には、 顧客本人に謝罪するとともに、顧客に対して架空の請求書が送付される等の二次被害を防止するために、原則として、速やかに顧客本人に対して顧客情報流出の事実を知らせるべきといえます(厚生労働省・経済産業省告示第4号「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下「経済産業省ガイドライン」といいます)29頁参照)。

 そのため、流出した顧客情報に、個人である顧客の氏名、生年月日、連絡先(住所、電話番号、メールアドレス等)、勤務先や所属に関する情報等を含まれていることが判明した場合には、速やかに、顧客に対する具体的な通知方法について検討を開始することが望ましいといえます。

主務大臣などへの報告

 流出した顧客情報の内容によっては、主務大臣や所属する業界団体等の関係機関等に報告を行う必要が生じることがあります。
 報告の必要の有無は、各監督官庁のガイドラインを参照して判断することになりますが、たとえば、思想・宗教・人種等の機微にわたる個人データが流出した場合や、信用情報・クレジットカード番号等を含む個人データが漏えいした場合で二次被害が発生する可能性が高い場合等には、速やかに報告を行うことが望ましいといえます(経済産業省ガイドライン29頁参照)。なお、平成27年9月に改正個人情報保護法が公布され、平成28年1月からは個人保護委員会が発足しました。改正個人情報保護法の全面施行は公布から2年以内とされており、それ以降は、現在、各主務大臣が保有している個人情報保護法に関する勧告・命令等の権限は個人情報保護法に一元化されることになります。

事実関係および再発防止策等の公表

 個人情報が流出した場合は、その原因や責任の所在とは別の問題として、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係、再発防止策等をプレスリリースやウェブサイトを通じて公表することも検討すべきといえます(経済産業省ガイドライン30頁参照)。
 事実関係や再発防止策等を公表する場合には、顧客からの事実関係の問い合わせや情報提供に対応するために、問い合わせ窓口を設置して、その旨をあわせて公表することが重要になります。

おわりに

 企業には、個人情報の利活用が期待されると同時に、個人情報の厳格な管理が期待されています。万一、顧客情報が流出した場合には、顧客の人格的、財産的利益を損なうような事態が生じることを防止するために、速やかに、なしうる限りの対応を尽くすことが求められているといえます。なお、上記の改正個人情報保護法の全面施行までの間に、個人情報保護委員会による規則の制定や各種ガイドラインの策定等が予想されるますので、今後はこうした動きを適時に把握しておく必要があるでしょう。

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する実務Q&A

関連する特集

危機管理・コンプライアンスの人気実務Q&A

  1. 企業不祥事の公表の見合わせ
  2. 内部通報制度を構築する際に知っておくべきポイント
  3. コンプライアンスと内部統制システム
  4. 企業不祥事を予防するための効果的な方策