個人情報が漏洩したらどうなるのか?また漏洩した時の対処方法とは?

近年不正アクセスなどで、個人情報が漏洩しているといったニュースを時々みます。

個人情報が漏洩すると、顧客や登録者に迷惑をかけるだけでなく社会的にも評価が下がってしまいます。

また個人情報が漏洩したときは、焦ってしまってどうすればわからないケースもあるでしょう。

しかし一刻も早く対応する必要があります。

 

 

個人情報の漏洩とは

はじめに個人情報漏洩による罰則と直接的および間接的な影響について説明します。

個人情報の漏洩には以下のような懲役や罰金があります。

第七章 罰則

第八十二条 第七十二条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。

第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。

第八十四条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

第八十五条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。

一 第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。

二 第五十六条の規定による報告をせず、又は虚偽の報告をしたとき。

第八十六条 第八十二条及び第八十四条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。

第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

一 第八十三条及び第八十四条 一億円以下の罰金刑

二 第八十五条 同条の罰金刑

引用元:個人情報保護法

個人情報の漏洩にはこれだけの罰金や罰則があることがわかります。

個人情報の漏洩を防ぎ、責任を回避するために、企業や組織は以下のルールを理解する必要があります。

  1. 個人情報は安全に保管しなければならない。
  2.  個人情報を第三者に委託してはならない。
  3. 個人情報は、必要な許可を得た個人または組織とのみ共有する。
  4. 必要な権限を有する個人または組織は、委託された個人情報を所有および使用することについて、書面による許可を得なければなりません。
  5. 第三者であるベンダーやサービスプロバイダーは、個人情報を保存したりアクセスしたりするための書面による許可を得なければならない。
  6. 第三者のベンダーおよびサービスプロバイダーは、個人情報を管理するための独自のポリシーを持っていなければならない。
  7. 従業員および独立した契約者の個人情報は、当該従業員または独立した契約者の同意を得ずに第三者に開示または譲渡してはならない。
  8. 個人情報を保持している個人および組織は、個人情報の管理を怠ってはならない。

 

 

個人情報の漏洩が分かったときするべきこと

  • 影響のあるクライアントなどに発表をすること
  • システムを使うのをやめる
  • システム提供会社に連絡

 

影響のあるクライアントなどに発表をすること

影響のある場所に、個人情報の漏洩が漏れたことを伝えることが重要です。

クライアントでも放置していれば、被害が広まる可能性もありますし、クライアントは顧客に対して説明が必要になります。

 

システムを使うのをやめる

個人情報の漏洩がわかった時点で、システムやシステムと接続している機器の利用を即座にとめる必要があります。

不正利用されていれば、さらなる被害を受けてしまう可能性があるのです。

利用を止めるだけ、できるだけ接続をすべて外すことも必要です。

 

システム提供会社に連絡

システムを外注している場合は、そのシステム提供会社に即座に連絡をするようにしてください。

対応はシステム提供会社と協議するとよいでしょう。

またこのような時にきちんと対応できるような、システム提供会社を選ぶことも重要です。

 

 

個人情報保護委員会に記載

個人情報保護委員会にも、個人情報が漏洩した場合にするべき対応は記載されています。

(1)事業者内部における報告及び被害の拡大防止

(2)事実関係の調査及び原因の究明

(3)影響範囲の特定

(4)再発防止策の検討及び実施

(5)影響を受ける可能性のある本人への連絡(事案に応じて)

(6)事実関係及び再発防止策等の公表(事案に応じて)

望ましい対応1個人情報保護委員会等への速やかな報告努力義務

※なお、別途、業法等で監督当局への報告が義務付けられている場合もあるため、注意が必要です。

引用:個人情報保護委員会

対象となるのは以下の事業の場合となります。

(1)個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損

(2)個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)第20条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい

(3)上記(1)又は(2)のおそれ

引用:個人情報保護委員会

 

 

個人情報が漏洩しているかどうか調べる方法

しかし個人情報が漏洩しているかどうか、すぐにわかるのは難しいです。

できるだけ早く把握するために、個人情報が漏洩しているかどうか調べる方法を説明していきます。

メールアドレスやパスワードなどの個人情報が漏洩しているかどうか、、調べるサイトである「Have I Been Pwned(HIBP)」があります。

業界関係者の中でも有名なサイトであり、企業でもこのデータベースを使っているケースは多いです。

使い方はシンプルで、以下のサイトにメールアドレスを入力するだけです。

Have I been Pwned」(HIBP)

このほかにもいくつかツールがあるのですが、調査がとても難しくなります。

そのため定期的な保守作業を続けるしか、具体的な方法はありません。

個人情報の漏洩というよりもウイルスに感染しているかどうかを調べるのです。

もしウイルス感染していれば、個人情報漏洩の可能性もあると考えるべきです。

システムにはウイルス診断などが入っていることが多く、定期的なチェックが必要になります。

 

 

個人情報が漏洩しないようにする方法とは

それでは個人情報が漏洩しないようにする対策方法を説明していきます。

 

セキュリティソフトの導入や更新をする

現代では、パソコン、スマートフォン、無線機器には、何らかのネットワークセキュリティが必要です。

セキュリティ・ソフトウェアは、デバイスのセキュリティを確保するための重要な要素となり、ビジネスのニーズに合った製品を検討する必要があります。

しかし、どのようなセキュリティ・ソフトウェアが自社のビジネス・ニーズに最適なのかを認識しておくことが重要です。

例えば、自社のビジネスタイプに合わせて特別に作られた製品が必要な場合もあれば、それほど特殊な性質を持たないセキュリティソフトウェアが必要な場合もあるでしょう。

 

明確なセキュリティ・ポリシーを作成する

情報セキュリティとは、情報システムのセキュリティのことです。

情報セキュリティとは、システムを稼働させるために必要なデータ、ソフトウェア、通信のセキュリティを指します。

情報セキュリティは、情報の完全性と機密性の保護を指すこともある。

情報セキュリティは、組織的セキュリティと技術的セキュリティの組み合わせと考えることができます。

それには以下が含まれます。

 

物理的・電子的セキュリティ:システム、人員、資材の確保

論理的セキュリティ:データが安全な方法で保存され、処理されることを保証する。

情報セキュリティ:不正なアクセスや使用から情報を保護すること。

情報セキュリティは、電子通信、ネットワーク、バックアップなど、あらゆる種類の情報セキュリティの基礎となるため、重要です。

情報セキュリティポリシーが脆弱だと、権限のない者が情報にアクセスできてしまい、セキュリティ上の大きな問題となります。

 

情報の持ち出しについてのルールを作成する

企業は、不正にデータが流出した場合の影響を理解する必要があります。

データ・セキュリティとは、単に実際のデータを保護するだけでなく、プライバシーや機密性も含むものです。

企業は、データの品質とセキュリティを確保するためのポリシーを持つべきである。

また、管理職を含む全従業員を対象に、データセキュリティとプライバシーに関する研修を実施することをお勧めします。

情報のプライバシーに関しては、企業は情報のプライバシーと機密性を保護するポリシーを確立する必要があります。

プライバシー保護にはさまざまなレベルがあります。

ほとんどの企業は、クレジットカード番号、住所、社会保障番号などの顧客情報を保護するポリシーを導入する必要があります。

従業員の個人情報に適用される場合は、企業は従業員の個人情報を保護するプライバシーポリシーを実施する必要があります。

 

メール誤送信防止システムを導入する

電子メールは、情報の流れの中で非常に価値の高いメディアです。

電子メールで成功を収めた組織は、競争上の優位性を獲得し、業績を向上させることができます。

しかしメールは誤送信をしてしまったり、見覚えのないメールを開いてしまいウイルス感染するなどのリスクがあります。

電子メールは、適切に使用すれば、組織が目標を達成するための強力なツールとなります。

そのためメールの誤送信を防いでくれるメール誤送信防止システムの導入をおすすめします。

メール誤送信システムはメールの誤送信を防ぐだけでなく、誤送信した時点ですぐに知らせてくれるシステムも多いのです。

誤送信をした時点で早めに送信先に連絡をすることが、個人情報漏洩を防ぐきっかけになるのです。

 

 

個人情報が漏洩していると分かった場合

個人情報が漏洩したとわかった場合は、以下のことをする必要があります。

被害が広まる可能性がありますので、なるべくすみやかにおこなってください。

(1)事業者内部における報告及び被害の拡大防止

(2)事実関係の調査及び原因の究明

(3)影響範囲の特定

(4)再発防止策の検討及び実施

(5)影響を受ける可能性のある本人への連絡(事案に応じて)

(6)事実関係及び再発防止策等の公表(事案に応じて)

引用:個人情報保護委員会

 

 

まとめ

個人情報の漏洩は上記で説明したように、大きな罰則があるように企業にとって大きな問題です。

そのため十分に注意する必要があります。

また漏洩したことを早めに把握し、対応することが重要になります。

放置していると2次災害につながるケースがあるのです。

 

 

システム開発のITパートナー探しをされるのであれば

システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。

以下のフォームより開発でご相談いただきたい内容などご相談ください。

    関連記事一覧