個人情報が漏えいした時に意識しなければならないこと

緊急事態と聞いて皆さんどんなイメージをしますか?端的に「ヤバいことが起きた」などのイメージあるかと思います。

プライバシーマーク(以下、Pマーク)でも緊急事態というのは個人情報が外部に漏えいしちゃった、もしくはしちゃったかもしれない。みたいな形で「ヤバいことが起きた」を指しています。

 

今回はそんな個人情報が外部に漏れた!みたいな「ヤバいことが起きた」際にどんなことをやらなければならない。のかを勉強していきます。

 

【最初にすべきこと】

まず個人情報の漏えいが起きてしまった場合にやらなければならないことはどんなことかと言うと、事故・事件現場から偉い人への報告です。

事故の場合、発見者が当事者かもしれないですが、すぐに上司や個人情報保護管理者に報告しなければなりません。

よくご自身で事実確認をしたり、紛失などであれば数日探すなどありますが、まずは報告です!

報告した上でヒヤリハットであったり、紛失したものが見つかればそれで事無きを得ることになりますが、報告が遅れてしまうと被害が大きなったり、上司から「なぜすぐに報告しなかった」となってしまいます。

会社としてもそういった報告などがやり易い環境を作ることも重要ですね。

 

【事態の公表等】

次に必要になってくるのが起きてしまった内容等の公表です。

インターネットが発展したこの時代では会社のHPに第一報を載せたりするのが、主な手段になるかと思います。

公表の際にも事実確認を入念にしたり、不利益なことだから公表などは一切しない。など判断をする可能性もありますが、公表が遅くなると「なぜ今になって公表?隠してたの?」になりますし、社内から外に隠した事実が漏れてしまうと所謂「炎上」となり、さらに面倒なことになる可能性もあります。

 

ですので、ここでも迅速な対応が求められてくるわけです。

仮に受託などで預かっている個人情報の漏えい等したのであれば、委託元への報告は必ず行わなければいけません。(これが漏れていると契約問題以前の話になってしまいます・・・)

 

また、事件の進捗なども適宜公表・報告することも重要です。

 

 

【被害の防止】

平行してすべきことは被害の拡大防止です。

紛失であれば、紛失したものを探す。メールの誤送信であれば誤送信先にそのメール内容の削除をしてもらう。などなど、起きてしまった個人情報の漏えい等の事故・事件の内容でやるべきことが変わってきますが、放置プレイをしていると二次被害が起きてしまって、さらになるクレームを生むことになってしまうので、しっかりとした対応がここでは求められます。

 

【再発防止】

被害の防止や事故・事件の全貌が見えてくれば、次に必要なのは再発防止です。

同じ事故・事件を何度も起こしてはダメなので、ちゃんとなぜこんなことが起きたのか「原因」をしっかり考える必要があります。

原因を潰さず再発防止は叶いません!

 

事実確認→原因追及→再発防止策の検討→再発防止の実施→ちゃんと実施出来ているかの確認

 

この流れが必要です。

内容はケースバイケースですが、流れはすべて一緒です。

例を挙げると

 

①事故内容:クリアデスクが出来ておらず机の上にあった書類を紛失してしまった。

②原因:書類を保管するキャビネットが少なく、キャビネットが満杯で机に放置したままになっていた。

③再発防止策:追加でキャビネットを購入する・

④実施:キャビネットを購入して、設置した。

⑤実施後の確認:キャビネットに書類がちゃんと仕舞われ、机の上に放置されることがなくなった。

 

【関係各所への報告】

最後に関係する役所などへの報告です。

まず、Pマークを持っている場合は必ず審査機関に報告しなければなりません。

 

最終的に何か処分が下されることになりますが、報告していなければさらに厳しい罰があるかもしれませんので必ず報告しましょう。

 

それ以外には個人情報保護委員会や監督官庁に報告が必要です。

Pマークをもっている場合、これらは審査機関・Pマークの認証機関が行ってくれるケースもありますが、個人情報保護委員会への報告は個人情報保護法の要求にもなるので、漏れないようにしなければなりません。

 

こういった緊急事態が起きるとみんなテンパってしまうため、実施漏れなどが起きてしまい、二次被害などにつながる可能性もあります。

専門家のサポートが必要でもあるので、相談先を確保しておくことをお勧めします。