個人情報漏洩時の報告や対応方法をわかりやすく解説

企業の個人情報漏洩は、顧客情報を扱うすべての企業にそのリスクがあります。漏洩事案自体をゼロにすることは難しいため、万が一個人情報が漏洩した際に必要となる報告などの対応を把握しておく必要があります。この記事では、個人情報漏洩が起こってしまった場合の報告義務や対応方法について解説していきます。

個人情報（個人データ）、個人情報の漏洩とは？

個人情報保護法における具体的な個人情報の項目と、個人情報漏洩の定義について解説します。

個人情報保護法とは

個人情報を取り扱う場合のルールについて定める法律で、2005年から全面施行されました。個人情報の適切な利用を促しつつ個人の権利や利益も保護することでバランスをとり、保護の対象となる情報の定義や利用する際のルールを規定しています。遵守しないと指導や勧告、罰金等につながる可能性があります。

個人情報と個人データ、項目の具体例

個人情報とは、特定の個人を識別できる情報のことであり、具体的には名前、生年月日、住所、血液型、性別、職業、電話番号、収入、生体情報、クレジットカード番号、金融機関情報、そして暗証番号などが挙げられます。個人データとは、企業が管理のためにまとめた個人情報データベースを構成する個人情報のことです。例えば、名刺管理ツールを使って検索できるように体系化して整理したものは個人データに該当します。

個人情報の漏洩とは

個人情報漏洩とは、個人情報を保有する者および個人情報に該当する者の意図に反して、情報が第三者に渡ることです。個人情報保護法においては、データの内容が失われる「滅失」や意図しない形で変更される「毀損」も総称して「漏えい等」と定義されています。

個人情報が漏洩した時の報告義務とは

個人情報漏洩の際に必要な報告や、その方法について解説します。

報告義務が生じる要件

個人情報保護法では、個人情報漏洩において報告義務が生じる4つのケースを定めています。まず、人種や信条、病歴や犯罪歴などの特に取り扱いを注意するべき「要配慮個人情報」が漏洩した場合。次に、不正に利用されることで財産的被害が生じる恐れのあるものが漏洩した場合。さらに、不正の目的を持って漏洩が行われた場合。そして、人数が1,000人を超えるデータが漏洩した場合です。また、これら4つのケースが発生したかどうか正確に判断できない、発生したおそれがあるに留まる場合も報告義務が生じます。

個人情報保護委員会への報告

情報漏洩の発覚から3〜5日以内に、速やかに個人情報保護委員会へ「速報」をあげます。次に、30日以内に、詳細まで含めた「確報」を提出します。個人情報保護法に定められている９つの事項、すなわち「概要」「漏洩等が発生し、又は発生したおそれがある個人データの項目」「漏洩等が発生し、又は発生したおそれがある個人データに係る本人の数」「原因」「二次被害又はそのおそれの有無及びその内容」「本人への対応の実施状況」「公表の実施状況」「再発防止のための措置」「その他参考となる事項」について、速報の時点では把握しているものだけ、確報では全てを正確に報告する必要があります。

本人への通知

上述の通り、個人情報保護法では報告を行う場合に漏洩等の対象となった本人に対しても文書やメールなどの手段で通知を行わなければいけないと規定しています。ただし、基準に満たない場合でも、個人情報を漏洩された本人が何らかのきっかけで漏洩の事実を知れば、企業への信頼が失われます。本人への影響が懸念される場合には通知を検討すべきでしょう。

世間への公表

個人情報保護法では、世間への公表は本人への通知が困難な場合の代替措置という触れられ方ですが、ガイドラインでは、事態の内容によっては、二次被害や類似事案の発生を防止するため、公表を行うことが望ましいとも記載されています。

個人情報の漏洩が起こる主な原因

個人情報の漏洩が起こる主な原因は、人為的ミスによるものと外部攻撃によるものに大別できます。人為的ミスによる情報漏洩は、誤った相手にメールを送信してしまう、社外に持ち出したノートパソコンを盗難されてしまうといったものです。外部攻撃による情報漏洩は、内部情報を外部に送信してしまうマルウェアに感染してしまう、不正アクセスの対象にされてしまうといったものです。また、退職者によるデータ持ち出しも少なからず発生しています。

個人情報漏洩が発生した際の対応方法

個人情報漏洩が起きてしまった際の具体的な対応方法について紹介します。

個人情報漏洩時に必要な対応

• 事業者内部における報告および被害の拡大防止
  速やかに担当部署へ報告を行い、不正アクセスが疑われる場合であれば、更なる被害の拡大や二次被害を止めるため外部からのアクセスを遮断して、データを消してしまわないように保全を行うなど、適切な初期対応を行います。

• 事実関係の調査および原因の究明
  情報漏洩の原因は何か、どういう経路で発生したのかを調査します。

• 影響範囲の特定
  情報漏洩の発生した状況を整理して、詳細な調査の対象範囲を設定します。

• 再発防止策の検討・実施
  原因を究明して再発防止策を作成し、社内で共有します。

• 個人情報保護委員会への報告および本人への通知
  個人情報保護法に基づいて、委員会への報告や本人への通知を行います。

外部への報告・対応

• 記者会見
  記者会見を行う場合、事前にFAQを準備しておくことで、正確性に欠けたり、誤解を招いたりするような質疑応答による二次的な被害を避けることができます。

• 取材対応
  各種報道機関の記者からの取材依頼では、回答期限が短い場合もあるため、迅速に回答できるように用意しておきましょう。

• 官公庁への報告
  業務において官公庁とやりとりがあれば、報告を要求されていないとしても官公庁側が報告を待っている場合もあります。メールなどで速報的な対応を行った上で、指定の形式で確報的な報告も行いましょう。

• 取引先への説明
  会社の取引先から問い合わせを受ける場合もあります。個人情報保護委員会に報告を行っていることを説明し、適切な対応をとっている姿勢を伝えましょう。

個人情報の漏洩に備えるには？

個人情報の漏洩が起きた際に迅速に対応できるよう、平時から備えておくことが重要です。まずどの部署の誰に報告をするのか、また発生したデバイスをどのように扱うのかといった社内の初期対応フローを作成し、社員への周知を徹底しましょう。

個人情報漏洩が発生した場合は速やかにフォレンジック調査を

情報漏洩が起こってしまった場合に、企業が行うべきことが「フォレンジック調査」です。どのような調査かを紹介します。

フォレンジック調査とは

法科学の分野のひとつで、デジタルデバイスに保存されている情報を収集・分析して、犯罪や不正行為の証拠を明らかにする調査のことです。原因を究明することで再発防止策が立てられますし、責任の所在を明らかにすることで、自社が問われる訴訟に発展した場合に備えることができます。

AIを活用したFRONTEOのフォレンジック調査サービス

膨大なデータ量を扱う現代のフォレンジック調査において、AI活用はもはや必須。専門家が目を通した少数のサンプルファイルでAIに判断基準を学習させることで、大量のデータを関係ありそうなものとそうでないものに仕分けさせます。調査の初めにしなければならない単純なデータの仕分け作業を少人数で短時間で行うことができるので、調査の効率化だけでなく、専門家のリソース集中による精度の向上も実現できます。

FRONTEOでのフォレンジック調査事例紹介

実際にFRONTEOで行った個人情報漏洩に関するフォレンジック調査の事例を紹介します。

マルウェア感染による個人情報漏洩の調査事例

ある企業のPCがマルウェアに感染していることが発覚し、個人情報の漏洩も疑われる事象があったことから、専門の調査会社であるFRONTEOへフォレンジック調査を依頼。感染ルートの特定と、感染元端末からの情報漏洩の痕跡を追跡することになりました。

数百台の端末を対象として解析ツールでの分析を実施し、攻撃ルートを可視化することで、被害端末を特定。さらにダークウェブにおいて漏洩した情報が売買されていないか、30弱のサイバー闇市場を対象に調査を実施しました。調査の結果、情報漏洩が起こっていたPCが特定できただけでなく、ダークウェブにも情報が流出していたことまで特定することができました。

※詳しい調査内容は「マルウェア感染による個人情報漏洩の調査」をご覧ください

個人情報漏洩時のフォレンジック調査はFRONTEOへ

FRONTEOは、2003年の創業当時から日本におけるフォレンジック調査のパイオニアとして、さまざまな企業の課題解決に取り組んできました。抜きん出た経験に基づく技術とノウハウには定評があります。

自社開発AIエンジンKIBITを活用して、ドキュメントレビューの際に大幅な省力化、コスト圧縮を実現するなど、案件対応の経験と自社AIエンジンを掛け合わせることで、他社にはできない高精度と効率化を実現しています。

日本、韓国にデータセンターを構え、セキュリティ対策も万全です。お客様企業の本社、現地法人、法律事務所の3つに対してシームレスにサービスを提供。グローバルオペレーションで迅速にサポートします。