個人情報の漏洩をしてしまった場合に行うべき2つのこと

はじめに

個人情報の漏洩が発生した場合やそのおそれがある場合には、個人情報保護法に基づく迅速かつ適切な対応が求められます。ここでは、漏洩が発生した際に取るべき2つの対応と、報告対象となる漏洩の事例について解説します。

個人情報の漏洩とは？

個人情報の漏洩とは、第三者に対して個人情報が不正に開示されたり、意図せずに閲覧されたりすることを指します。具体的には、以下のようなケースが該当します。メールの誤送信による情報漏洩は、日常業務で非常に起こり易いものです。

• ・不正アクセスによる漏洩: ハッキングなどにより個人情報が外部に流出する場合

• ・設定ミスによる漏洩: システム設定の誤りでインターネット上に個人情報が公開されてしまう場合

• ・紛失・盗難: 個人情報が記録された書類やデバイスが盗まれたり紛失した場合

• 誤送信: メールアドレスをBCCではなくCC欄に入力して送信するなどの人的ミス

1. 行うべきことその１～速報（新規）～

漏洩が発覚した場合、まずは速やかに個人情報保護委員会に「速報」を行います。速報は、漏洩発覚から3～5日以内に報告する必要があります。速報は、詳細情報が揃っていない段階で行われるものであるものの、速報（報告書）には、速報時点で把握できている情報を可能な限り記載します。

2. 行うべきことその２～確報（続報）～

速報の後、漏洩発覚から30日以内に「確報」を行います。確報は、速報に基づいて詳細な情報を報告します。必要に応じて、発覚から60日以内に追加の確報を行うこともあります。

確報には以下の項目を含めます。

• 漏洩の概要の詳細

• 漏洩した個人データの具体的な項目

• 漏洩した個人データに係る本人の数

• 原因の詳細

• 二次被害の有無およびその内容

• 本人への対応の実施状況

• 公表の実施状況

• 再発防止のための措置

• その他参考となる事項

報告対象となる事例

個人データの漏洩等（またはそのおそれ）
例1: システムの設定ミスによりインターネット上で個人データの閲覧が可能な状態となり、該当する個人データの本人が1,000人を超える場合
例2: 自社の会員（1,000人超）にメールマガジンを配信する際、メールアドレスをBCCではなくCC欄に入力して一括送信した場合

不正の目的で行われたおそれがある個人データの漏洩等（またはそのおそれ）
例1: 不正アクセスにより個人データが漏洩した場合
例2: 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏洩した場合

財産的被害が生じるおそれがある個人データの漏洩等（またはそのおそれ）例1: ECサイトからクレジットカード番号を含む個人データが漏洩した場合
例2: 従業員の健康診断等の結果を含む個人データが漏洩した場合

要配慮個人情報が含まれる個人データの漏洩等（またはそのおそれ）
例1: 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
例2: ランサムウェア等により個人データが暗号化され、復元できなくなった場合
例3: 個人データが記載または記録された書類・媒体等が盗難された場合
例4: 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

まとめ

個人情報の漏洩が発生した際には、まず速やかに速報を行い、その後確報を行います。上記の手順を参考に、万が一の事態に備えましょう。また、日常的に個人情報の取り扱いに注意を払い、漏洩防止策を徹底することが重要です。

個人情報保護法に関する詳細な情報や最新のニュースについては、個人情報保護委員会の公式ウェブサイトやTwitterをご覧ください。

参考リンク

• 個人情報保護委員会公式ウェブサイト

• 個人情報保護委員会公式Twitter

• 漏洩報告受付ページ

以上、個人情報の漏洩に関する対応手順についてご紹介しました。日頃から適切な管理を心掛け、漏洩リスクを最小限に抑えましょう。