2022.02.20 怖い話⑦「個人情報保護法Ⅱ」
センター長、中村です。
今回も個人情報保護委員会のホームページを主に参考にして書いております。
前回、個人情報とは「個人を特定できる情報(氏名・生年月日・パストート番号・マイナンバー等)」と書きました。
改正個人情報保護法では、これが漏えいして次の事態のいずれかに該当する場合に、情報保護委員会への報告、本人通知が義務化されています。
- 要配慮個人情報(人種、信条、健康、犯罪の経歴等、配慮が必要な情報)の漏えい
- 財産的被害(クレジット番号、ネットバンキングのIDパスワード)の恐れがある漏えい
- 不正の目的(不正アクセス等)による恐れがある漏えい
- 1000件以上の漏えい
- 上記いずれかの恐れがある場合
そして、漏えい報告は“速報”と“確報”の2段階で行います。
“速報”は「速やかに」という表現でおおむね3日から5日以内で、この時点で分かっている内容。
“確報”は事態を知ってから30日以内(不正目的の場合は、60日以内)で、すべての報告事項となっています。
報告事項は概要、漏えいの可能性がある数、原因、二次被害またはそのおそれの有無、本人への対応の実施状況、公表実施の状況、再発防止のための措置と続きます。
現在、改定前なので個人情報保護委員会のホームページの「漏えい等の報告」は「新規報告・続報」があり、
次のURLから報告できるようになっています。
https://roueihoukoku.ppc.go.jp/?top=kojindata
また、重大な影響が生じ得ると判断された事案や急を要する場合には、事業者用連絡ダイヤルが用意されています。
では、個人情報の漏えいとは具体的にどのような場合を指すのか。
上記の例でいう「不正の目的」は、サーバーへの不正アクセス、ランサムウェアやエモテットなど情報を盗み出そう、または改ざんすることが目的ですが、
もっと身近にも情報漏えいは存在します。
例えば、
- EXCELで作成した顧客担当者情報をUSBメモリに記録し、これを紛失した
- 廃棄を依頼されたPCに、顧客のデータベースが記録されていたが、廃棄前に紛失した。
- 顧客の情報をメーカー取引業者に渡した
- 引っ越しの際、ファイルしていた社員名簿を紛失した
いずれもありそうな話です。これが、先に上げた条件に合致する恐れがある場合は、
漏えいの事実が発覚、把握できた段階で個人情報保護委員会への“速報”“報告”と漏えいした可能性がある本人への通知が必要になります。
さて、個人情報が漏えいした場合、その賠償はどうなるのでしょう?
判例では次の3点が考慮されるそうです。
- 漏えいした情報の項目(信用情報や要配慮情報が含まれると高くなる)
- 第三者が悪用することで生ずる二次被害の有無、
- 漏えい後の対応に迅速か否か
要配慮情報が含まれず、二次被害もない場合は、一人3000円~5000円が相場だそうです。
怖いですねー。
漏えい発覚後にかかる対応の手間や損害賠償、そして一番の打撃は信用の失墜です。
当社も少なからず、個人情報を保有しています。
情報セキュリティポリシーにおいて漏えいを防ぐ、社内規定を確立すると同時に、個人情報の扱いに関しては事前対策が必要と、今回のブログを書きながら再認識した次第です。
1億円に該当する違反行為については、また次の機会で。