本日は、企業が情報漏えいをしてしまった後にどのような対応をしたら良いのかを解説したいと思います。
- 事実確認
- プレスリリースと問い合わせ窓口の設置
- 個人情報保護委員会への報告
- 原因究明と今後の対策
- 最終版プレスリリース
- その他
①事実確認
まず、事実関係がどうなってるのか、その確認が大切です。具体的にどんな情報が漏えいしたのか。それが氏名なのかメールアドレスなのか電話番号か、あるいはクレジットカード情報も含んでいるのか。また、どの程度の件数が漏れてしまったのか。どこからどういった情報が漏えいしたのかといった事実確認が最初に大事になってきます。
②プレスリリースと問い合わせ窓口の設置
ある程度、事実関係が把握できたことを前提に、その内容についてプレスリリースを出す必要があります。それに伴い、お客様からの問い合わせも当然入ってきますので、お客様の問い合わせ窓口(コールセンター)などの設置も必要になります。
情報漏えいの事実関係を調査しつつ、プレスリリースの準備をしながら、コールセンターを設置しなければなりません。混乱した中での対応になりますので、普段から情報漏えい事故が起きる可能性を想定しながら対応マニュアルを作成しておくことが望ましいです。
我々にご相談が来るタイミングは、情報漏えいが起こった直後から、企業においてある程度の事実関係を把握した後など様々です。しかし、最初の段階、すなわち何らかの異常が判明した時点(例えばECサイト上で不正アクセスの疑いがあると判明した時点)で、ご連絡を頂けるとその後の対応もスムーズになります。
③個人情報保護委員会への報告
これまでの対応と並行して行うことになりますが、個人情報の漏えい又はそのおそれがある場合には、個人情報保護委員会への報告も必要になります。個人情報保護委員会との間では、情報漏えいが生じたことが判明してから、どういったタイミングで、どういった報告をしていけばいいのかという点も含めて、円滑にコミュニケーションを取ることが大切です。
https://www.ppc.go.jp/personalinfo/legal/leakAction/
④原因究明と今後の対策
事実関係の確認や問い合わせ窓口の設置、併せて個人情報保護委員会への報告がひと段落したら、今回の情報漏えいについて原因究明をする必要があります。今回の事案がなぜ起こってしまったのか、デジタル・フォレンジックを用いてログ等の復元をして調査をするというフェーズに入ります。フォレンジック作業自体は専門業者に依頼をした上で、この原因究明を基に今後の対策(再発防止策)を打ち出し、その実装を行うようにします。
⑤最終版プレスリリース
初期的に事実関係を確認した後にプレスリリースを出しましたが、その段階で、今回の事案における全ての事象が分かっていることは多くありません。原因究明をした上で、それを踏まえつつ、今回の事案の詳細や再発防止策の内容等に関するプレスリリースの最終版を出すことになります。
⑥その他
情報漏えいが発生した後の企業による対応の大まかな流れとしては、以上ですが、その他考えられることとして「お客様」つまり、その「個人情報を漏えいされた方々」から情報漏えいについて責任追及されることも考えられると思います。あるいは、例えばECサイトの場合、そのECサイトを構築したシステムベンダーがいるはずですが、情報漏えいを発生したEC加盟店からそのシステムベンダーに対する法的責任の追及も考えられます。
この点につきましては、改めて解説する機会を設けたいと思います。
TMIプライバシー&セキュリティコンサルティング 執行役員
TMI総合法律事務所 パートナー弁護士
インターネット、アプリ・システム開発のトラブル、また、セキュリティインシデント有事対応に関する法務を専門とし、特に、これらのトラブルが訴訟も含めて紛争化した場合の対応業務を数多く取扱う。また、これらの有事対応の経験に基づきアセスメントを行った上でのサイバーセキュリティ体制構築支援業務にも従事する。有事の場合におけるクライアントの不安な気持ちに十分配慮しながら、クライアントに安心してもらうための充実したサービス提供の徹底を信条とする。