個人情報漏えい防止対策と漏えい時の対応｜個人情報のリスク管理とマネジメント

個人情報保護法は、顧客情報や従業員情報を保有する全ての中小企業にかかわる法律である。

中小企業といえども個人情報は厳重に管理する必要があり、個人情報の漏えい防止対策は万全にしなければならない。

この記事では、個人情報の漏えい防止対策、並びに、個人情報が漏えいした場合の対策と対処について、詳しく解説する。

【この記事の目次】

個人情報の漏えい防止対策とチェックポイント
個人情報の漏えいが発生した場合の対応（大量漏えい）
誤送付等が原因の個人情報漏えい時の対応（少量漏えい）

個人情報の漏えい防止対策とチェックポイント

会社から個人情報が漏えいしたら、企業の信用は一瞬で失われる。

企業の存続にかかわる個人情報の漏えいを防ぐには、経営者が先頭に立って漏えい防止の意識を強く持つことが大切だ。

個人情報の漏えい防止対策について、個人情報の防波堤になり得る立場に置かれている関係者が、最低限意識すべきチェックポイントを以下に解説する。

個人情報の防波堤となる関係者は「経営者・従業員・WEB担当者・システム管理担当者」になるが、夫々の立場で個人情報の漏えいを防止するために意識すべきチェックポイントは次の通りになる。

経営者が意識すべき個人情報漏えい防止対策

中小企業の経営者が個人情報漏えい防止の対策としてチェックすべきポイントは次の5項目になる。

1．個人情報漏えいに対する取り組みは経営者が主導しているか？

2．社内に対策の実施内容（セキュリティポリシー等）を明示して、それに沿った対策を実施しているか？

3．採用、退職の際に守秘義務に関する書面を取り交わしているか？

4．個人情報保護の必要性を全従業者に意識付けしているか？

5．会社がWebサイトを運営している場合には、サイト管理者に脆弱性対策をしているか確認しているか？

従業員が意識すべき個人情報漏えい防止対策

中小企業の従業員が個人情報漏えい防止の対策としてチェックすべきポイントは次の12項目になる。

1．電子メールやFAX、郵送物を送る前に、内容と送り先をしっかり確認しているか？

2．職場から個人情報を許可なく持ち出していないか？

3．職場から個人情報を持ち出した場合は、大事な情報を置き忘れないように気をつけているか？

4．職場から個人情報を持ち出した場合は、個人情報の入ったPCやUSBメモリ、書類等を車の中に長時間置いたままにしていないか？

5．ファイル交換ソフトを利用していないか？

6．ウェブサイトに個人情報を入力するとき、そのサイトが本物であるか確認しているか？

7．Windows Update 等を利用して修正プログラムを適宜適用しているか？

8．ウイルス対策ソフトを導入しているか？

9．ウイルス対策ソフトのウイルス定義ファイル・パターンファイルは更新しているか？

10．ウイルス対策ソフトでPC内を定期的にチェックしているか？

11．定期的にパスワードを変更しているか？

12．個人情報が書かれた書類をシュレッダーなどにかけて廃棄しているか？

Webサイト担当社員が意識すべき個人情報漏えい防止対策

中小企業のWEBサイト担当社員が個人情報漏えい防止の対策としてチェックすべきポイントは次の7項目になる。

1．Webサイトを外注して開発する場合、脆弱性対策や情報漏えい対策を盛り込んだ契約になっているか？また、事後の追加対応が可能な保守契約はあるか？

2．自社でWebサイトを開発する場合、脆弱性対策を盛り込んで開発しているか？

3．運営中のWebサイトに脆弱性が発見された場合、対応できる体制になっているか？

4．外部のWebサイト（ネットショッピングモール等）を利用している場合、そのWebサイトが行っているセキュリティ対策を確認したか？

5．個人情報をウェブサーバの公開フォルダに置いていないか？

6．Webサイトの利用者をフィッシング詐欺から守る対策を講じているか？

7．Webサイトがどの程度の攻撃を受けているか、把握しているか？

システム管理担当社員が意識すべき個人情報漏えい防止対策

中小企業のシステム管理担当社員が個人情報漏えい防止の対策としてチェックすべきポイントは次の10項目になる。

1．ソフトウェアの脆弱性情報を把握し、必要に応じてパッチの適用を行っているか？

2．ファイアウォールを使用してネットワークを目的毎に分割しているか？

3．退職者のアカウントが残っていないか？

4．誰が、いつ、どの情報にアクセスしたか、その記録はあるか？

5．個人情報には、必要最小限の社員のみがアクセスできる仕組みになっているか？

6．社外に持ち出すPCやUSBメモリを紛失した場合でも、情報が漏えいしない対策がされているか？

7．無線LANを使用する場合、適切な暗号化方式を選択しているか？

8．セキュリティ事故発生時の対応手順が明確になっているか？

9．業務用PCに、不要なソフトウェアがインストールできない仕組みがあるか？

10．私用PCの業務利用（または業務PCの私的利用）はないか？

個人情報の漏えいが発生した場合の対応（大量漏えい）

個人情報の防波堤となる「経営者・従業員・WEB担当者・システム管理担当者」が個人情報の漏えいを防止するために意識すべきチェックポイントをすべてクリアしていても、個人情報の漏えいリスクはゼロにはならない。

中小企業において、万が一、大量の個人情報の漏えいが発生した場合の対応は概ね下記の通りである。

情報漏えいに関する公表の考え方

透明性・開示の原則から、発生した情報漏えいについてなるべく早く公表を行うことを考える。個人情報が漏えいした場合は、本人にその事実を知らせお詫びするとともに、詐欺や迷惑行為などの被害にあわないよう注意喚起する。

また、個人情報漏えいの被害者や関係者に通知し意向を確認した上で、一般に公表が必要と判断される場合は、ホームページでの掲載などを行う。

情報漏えいに関する公表方法

公表にあたっては、まず報道機関との窓口を一本化し対外的な情報に不整合が生じないようにする。ホームページのトップページまたはトップページからリンクする形で、下に示す公表用資料の内容を掲載する。取材については電話ではなく、なるべく対面での対応にする。回答できない質問については、その場で無理に回答しようとせずに、確認の上、追って回答するようにする。

公表用資料に含むべき項目（例）

序文（発生した情報漏えいに関するお詫び、会社としての姿勢など）

事故発生に関する状況報告

事実経緯

調査方法及び状況

漏えいした情報の内容

事故の被害内容（二次被害の影響含む）

事故原因

当面の対応策

再発防止策

問い合わせ窓口（事故に関する連絡先）

警察への届出

個人情報の紛失の場合は遺失届を、個人情報の盗難の場合は盗難の被害届を、下記のような可能性のある場合は、警察へ被害届を行うことを検討する。

（a）従業員の内部犯行によって情報が漏えいしてしまった場合（背任、不正競争防止法違反等被疑事件）

（b）外部からの侵入等によって情報が漏えいしてしまった場合（不正アクセス禁止法違反被疑事件）

（c）漏えい情報に関して不正な金銭等の要求を受けた場合（恐喝・脅迫・強要等被疑事件）

監督官庁への報告

個人情報が漏えいした場合は、業種別の監督官庁に対して報告を行わなければならない。報告要領、報告すべき項目については各監督官庁により定められているので、「個人情報の保護に関するガイドラインについて（消費者庁）」を参考にしてほしい。以下に報告に含むべき代表的な項目を示す。

監督官庁への報告に含むべき項目（例）

事業者名

発覚日

事故原因

漏えいした情報の内容

事故の被害内容（二次被害の影響含む）

警察届出有無

個人への連絡

再発防止策

誤送付等が原因の個人情報漏えい時の対応（少量漏えい）

続いて、少量の個人情報が漏えいした場合の対応を解説する。

中小企業にて少量の個人情報の漏えいが発生した場合は、個人情報漏えいの対象者だけでなく、場合によっては、ホームページ等に下記内容を公表し、漏えいの事実並びに対応を公表する。

公表内容の一例

事故の概要	担当者が、対象者の個人情報が記載された納品書を、誤って他の対象者へ郵送し、個人情報が流出した。
発生日	平成○年〇月○日（○曜日）
発生場所	○○○○株式会社　経理部
誤送付した書類	納品書
流出した個人情報	納品書に記載された氏名、住所、電話番号、メールアドレス
流出した個人情報件数	1件
経緯	平成○年○月○日（○曜日）、対象者へ納品書を郵送した際、対象者A様の納品書と対象者B様の納品書を入れ違えて発送してしまった。○月○日（○曜日）、A様から連絡を頂き誤って郵送したことが判明した。
事故発生後の対応	○月○日（○曜日）○時○分頃、B様に往訪し、誤送付を謝罪するとともに、誤って郵送した納品書を回収した。 ○月○日（○曜日）○時○分頃、A様に往訪し、誤送付を謝罪するとともに、誤って郵送した納品書を回収し、正しい書類を届けた。 ○月○日（○曜日）○時○分頃、再度B様に往訪し、正しい納品書を届けた。
再発防止の対応	従業員に対し、情報管理の徹底、事故発生時の対応についての周知を行い、再発防止を図った。