連日のようにニュースで報じられる、企業による個人情報漏洩事故。

「○○万件の顧客データが流出」

「クレジットカード情報が不正利用された可能性」

　といった見出しを見るたびに、背筋が凍る思いをしている経営者様も多いのではないでしょうか。

　特に、顧客リストを多く抱える小売業やサービス業、ネットショップを運営されている企業にとって、個人情報は【最強の資産】であると同時に、取り扱いを間違えれば会社を吹き飛ばしかねない【最大のリスク】でもあります。

「うちは大企業じゃないから、ハッカーに狙われることはないだろう」

「セキュリティソフトを入れているから大丈夫」

　もし、そのように考えていらっしゃるとしたら、それは非常に危険な状態です。近年の個人情報保護法の改正により、企業に課される責任は格段に重くなりました。万が一、漏洩事故を起こした場合、法律を知らなかったでは済まされず、社会的信用の失墜や巨額の損害賠償、さらには刑事罰の対象となる可能性すらあります。

　本コラムでは、改正個人情報保護法の重要ポイントを押さえつつ、漏洩は「起きるもの」という前提に立った時、企業がとるべき具体的な防衛策と事後対応について解説します。

「漏洩は起きない」という神話を捨てることから始まる

　まず、認識を根本から変える必要があります。情報セキュリティの世界では、「侵入を防ぐ」ことと同じくらい、「侵入された後、あるいは漏洩した後どうするか」が重要視されています。

　なぜなら、どんなに強固なセキュリティシステムを導入しても、それを扱うのが「人間」である以上、ミスをゼロにすることは不可能だからです。また、サイバー攻撃の手口も日々巧妙化しており、完璧な防御はあり得ません。

　しかし、多くの企業では「漏洩防止」には予算をかけても、「漏洩時の対応」については準備が手付かずの状態です。

　事故が起きた時、誰が判断するのか。誰に連絡するのか。警察か、監督官庁か、弁護士か。

　この初動の遅れが、被害を拡大させ、炎上を招く最大の要因となります。

　これからの企業に必要なのは、「漏洩は絶対に起こさない」という精神論ではなく、【漏洩は起こり得るものとして、被害を最小限に食い止める準備をしておく】というリスク管理の視点です。

法改正で厳格化！ 漏洩発生時の「ダブルの報告義務」とは

　令和4年4月に全面施行された改正個人情報保護法において、事業者にとって最もインパクトが大きかったのが、漏洩等が発生した場合の【報告義務・通知義務の義務化】です。

　改正前は、個人情報の漏洩があっても、監督官庁への報告はあくまで「努力義務」でした。

　しかし、改正後は、一定の要件を満たす漏洩事故が発生した場合、以下の2つの対応が法律上の【義務】となりました。

《1. 個人情報保護委員会への報告》

　国（個人情報保護委員会）に対して、事故の事実関係や再発防止策を報告しなければなりません。

　これには、事態を把握してから速やかに行う「速報」と、30日（不正アクセスの場合は60日）以内に行う「確報」の2段階があります。

《2. 本人への通知》

　漏洩した情報の本人（顧客など）に対して、漏洩の事実やお詫び、問い合わせ先などを通知しなければなりません。

　では、どのような場合に報告義務が発生するのでしょうか。

　主に以下の4つのケースです。

１．要配慮個人情報（病歴、犯罪歴、健康診断結果など）が含まれる漏洩

２．財産的被害が発生するおそれがある漏洩（クレジットカード番号、送金機能付きのID・パスワードなど）

３．不正の目的をもって行われたおそれがある漏洩（サイバー攻撃、社員によるデータの持ち出し、ランサムウェア被害など）

４．1,000人を超える漏洩（人数規模が大きい場合）

　「うちは小さな店だから関係ない」と思われるかもしれませんが、例えばECサイトがサイバー攻撃を受け、クレジットカード情報が流出した場合、それがたった1件であっても報告義務の対象となります。 また、従業員が顧客リスト（1,000人分以上）が入ったUSBメモリを紛失した場合も同様です。

　この報告を怠ったり、虚偽の報告をしたりした場合は、最大で1億円以下の罰金刑（法人）が科される可能性もあり、コンプライアンス上の重大な問題となります。

意外と盲点？ 「委託先のミス」もあなたの会社の責任になる

　多くの企業が陥りやすいのが、業務委託先でのトラブルです。

　例えば、DM（ダイレクトメール）の発送を配送業者に依頼したり、給与計算を社労士事務所に任せたり、クラウド型の顧客管理システムを利用したりすることは日常的に行われています。

　ここで重要なのは、法律上、個人データの取り扱いを委託する場合、委託元（あなたの会社）には【委託先に対する監督義務】があるという点です。

　もし、DM発送業者が預かった住所リストを紛失してしまったとします。悪いのは紛失した業者ですが、顧客から見れば「あなたのお店を信用して住所を教えたのに、管理がずさんだ」となります。

　そして法律的にも、委託元は「委託先が適切な安全管理措置を講じているか」を選定に際して確認し、契約後も定期的に監査する等の義務を負っています。

　「契約書に『情報漏洩しないこと』と書いてあるから大丈夫」だけでは不十分です。

　再委託（孫請け）の禁止や制限、漏洩時の速やかな報告ルートの確立、そしてデータの廃棄証明書の提出など、実効性のある管理体制を契約書に盛り込み、実際に運用されているかを確認する必要があります。

ハッカーよりも怖い「うっかりミス」を防ぐ具体策

　情報漏洩というと、黒い画面に向かったハッカーが攻撃してくるイメージがありますが、実際には【ヒューマンエラー（人為的ミス）】が原因の多くを占めています。

《メールの誤送信》

　BCCに入れるべき数百人のメールアドレスを、誤ってTOやCCに入れて一斉送信してしまう。これは最も典型的かつ頻発している事故です。

　対策としては、「一斉送信ソフトの導入（手動でやらない）」「送信前のダブルチェック体制」「オートコンプリート機能（宛先予測）の無効化」などが挙げられます。

《紛失・置き忘れ》

　顧客データが入ったノートパソコンやUSBメモリ、あるいは紙の書類を、電車やカフェに置き忘れるケースです。

　対策はシンプルですが、「原則として持ち出し禁止にする」ことです。どうしても持ち出す必要がある場合は、データの暗号化やパスワード設定を義務付け、万が一紛失しても中身が見られないようにする【技術的保護措置】が不可欠です。

《内部不正》

　退職予定の従業員が、次の転職先で使うために顧客リストを持ち出すケースです。

　これには、アクセスログ（誰がいつどのファイルを開いたか）の監視や、USBポートの使用制限といったシステム面の対策に加え、入社時・退職時の秘密保持誓約書の取得という法的な縛りが有効です。

　こうした対策は、一度ルールを作って終わりではありません。従業員に対する定期的な研修を行い、「なぜこれをやってはいけないのか」という意識を浸透させ続けることが、地味ですが最も効果的な防御策となります。

形式だけでは守れない。「プライバシーポリシー」の重要性

　ウェブサイトの下の方にある「プライバシーポリシー（個人情報保護方針）」。他社のものをコピペして、そのまま掲載していませんか？

　プライバシーポリシーは、単なる飾りではありません。「当社は、お客様の個人情報をこのように扱います」という、対外的な【約束（契約に近い性質）】です。

　改正法では、プライバシーポリシーに記載すべき事項も細かく規定されました。

　例えば、個人情報の利用目的はできる限り特定しなければなりませんし、安全管理措置としてどのような対策を講じているか（本人の知り得る状態に置くこと）も求められます。

　また、先述した「開示請求」への対応窓口や、認定個人情報保護団体の名称など、記載漏れがあると法令違反を問われる項目が多数あります。

　特に注意が必要なのが、個人データを第三者に提供する場合の規定や、Cookie（クッキー）などのオンライン識別子の取り扱いです。

　実態と乖離したポリシーを掲げていると、いざトラブルになった際に「虚偽の説明をしていた」として、責任が加重されるおそれがあります。自社の業務フローに合わせて、適正な内容にアップデートし続けることが必要です。

いざという時、慌てないための「危機管理マニュアル」

　「金曜日の夕方、従業員から『顧客リストが入った鞄を盗まれた』と報告を受けた」 さて、社長であるあなたはどう動きますか？

◎事実確認：何が、いつ、どれくらい漏れたのか。暗号化はされていたか。

◎被害拡大防止：アカウントの停止、リモートロック、ネットワーク遮断。

◎報告ライン：個人情報保護委員会への速報（原則3〜5日以内）。警察への届出（盗難の場合）。

◎本人通知：お詫びと注意喚起（クレカ停止の依頼など）。

◎公表：ウェブサイトでのプレスリリース謝罪会見の要否検討。

◎問い合わせ対応：コールセンターの設置、FAQの作成。

　これらを、混乱の中で瞬時に判断するのは不可能です。

　だからこそ、平時のうちに【緊急時対応マニュアル】を作成し、「誰が」「いつ」「何をするか」を決めておく必要があります。

　特に、最初の対外的な発表（第一報）の内容は極めて重要です。不確定な情報を安易に流せば信用を失い、逆に隠蔽しようとすれば後で発覚した際に致命的なダメージを受けます。

「法的にどこまで公表義務があるのか」

「どのような表現で伝えるべきか」

　については、危機管理広報の視点を持つ弁護士のアドバイスが不可欠な場面です。

弁護士法人横田秀俊法律事務所にご相談ください

　個人情報の問題は、ITの問題であると同時に、高度な法律問題です。

「改正法に対応できているか不安だ」

「プライバシーポリシーを何年も見直していない」

「万が一のために、危機管理体制を作りたい」

　そのようなお悩みをお持ちの企業様は、ぜひ弁護士法人横田秀俊法律事務所にご相談ください。

　福井県大野市に拠点を置く当事務所では、地元の中小企業・個人事業主様の法務サポートに力を入れております。

　代表弁護士の横田秀俊は、企業の規模や業態に合わせた、実践的で運用可能な個人情報保護体制の構築を支援いたします。

　大手企業の真似事のような重厚すぎるルールではなく、現場が無理なく守れるルール作りこそが、真のセキュリティにつながります。

　また、不幸にして情報漏洩事故が発生してしまった場合の緊急対応（クレーム対応、監督官庁への報告書作成支援、損害賠償交渉など）についても、迅速にサポートいたします。

　「何かあってから」では遅いのが個人情報です。

　お客様からの信頼という目に見えない資産を守るために、今のうちから強固な法務基盤を築きましょう。

　まずはお気軽にお問い合わせください。