個人情報を流出させるとどうなる？ 被害と必要な事後対応など

2022年4月に個人情報保護法が改正され、漏えい時の報告義務や法令違反に対するペナルティの強化が行われるなど、企業における情報漏えい対策の重要性が増しています。情報漏えい事故は毎月のように発生していますが、実際に企業が個人情報の漏えい事故を起こすとどのような被害や影響が考えられるのでしょうか。

この記事では、個人情報の流出における被害や影響、法的責任について解説し、併せて個人情報流出後の対応策について解説します。

1. 個人情報流出とは
2. 個人情報流出の直接的な被害と影響
3. 個人情報を流出させた企業の法的責任
4. 個人情報流出後の対応策
5. 企業・組織の個人情報流出・情報漏えいの事例と対策

個人情報流出とは

個人情報流出とは、企業や組織において収集した個人情報が外部に漏れることを指します。

個人情報は個人に関する情報であり、特定の個人を識別できる情報です。例えば、氏名や生年月日、住所などが該当します。また、個人情報保護法では「個人識別符号」を含む情報も個人情報に含まれると定義しています。例えば、指紋などの身体的なデータや、免許証・マイナンバーカードなどの個人に割り当てられる公的な番号などです。

個人情報流出の直接的な被害と影響

個人情報流出が起きた場合、その影響や被害は流出された個人だけでなく、流出させてしまった企業にも及びます。個人に及ぶ影響・被害としては、個人情報を不正に利用されて、なりすましやクレジットカードの不正利用などの金銭的な被害にある可能性が考えられるでしょう。

一方、流出させてしまった企業側は「個人情報を流出させた企業」として社会的信用を失い、各種取引への影響が懸念されます。加えて、個人情報の流出における損害賠償請求を受ける可能性も考えられるでしょう。実際に多額の賠償請求が行われた事例もあり、企業における個人情報流出は、企業の存続が危ぶまれる事態に発展する可能性があります。

個人情報を流出させた企業の法的責任

個人情報を取り扱う企業は「個人情報取扱事業者」となり、個人情報保護法を遵守しなければなりません。個人情報保護法では、個人情報取扱事業者に対して次のようなことを義務付けています。

• 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない
• 個人データを安全に管理し、従業員や委託先も監督しなければならない
• あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない

など
引用元：個人情報取扱事業者の責務（総務省）

前述の義務は一部ですが、これらの義務違反に対して、個人情報保護委員会の改善命令にも違反した場合、個人には1年以下の懲役または100万円以下の罰金が科され、法人には1億円以下の罰金が科されます。このことからも、個人情報流出が企業の存続に多大な影響を及ぼすことが分かるでしょう。

個人情報流出後の対応策

しっかりと対策を取っていたとしても、個人情報流出を完全に防ぐことは難しいかもしれません。年々巧妙化・多様化するサイバー攻撃に対して、常に最善の対策を取り続けることは難しいからです。そのため、防止策と併せて事後の対応策も検討しておくことが重要です。

原因の特定

個人情報流出が発覚した場合には、原因の特定を急がなければなりません。原因が特定できなければ適切な対処ができず、再発防止のための対策を取ることもできないからです。個人情報の流出時には、個人情報保護委員会、流出された本人への通知が義務付けられており、その報告のためにも原因の特定は欠かせません。

警察への届け出

個人情報が保存された端末などの紛失・盗難、内部不正など、あらゆる状況が考えられますが、初動対応、二次被害の拡大防止策として警察へ届け出ましょう。特に不正アクセスによる個人情報の流出は、明確なサイバー犯罪であるため届け出が必要です。その際には、都道府県警察本部のサイバー犯罪相談窓口から相談すると良いでしょう。
・相談窓口（警察庁）

法的対処

前述のとおり、個人情報取扱事業者は個人情報流出時には、個人情報保護委員会、流出された本人への通知が義務付けられています。また、会社の事業内容によって各監督官庁への報告も必要です。

• 電気通信分野→総務省
• 農林水産分野→農林水産省
• 金融分野→金融庁
• 特定の監督官庁がない場合→経済産業省

通知・公表

個人情報流出により、企業の社会的信用の失墜は免れません。しかし、事後の対応が適切であれば、信頼の低下は少なからず防ぐことができるでしょう。取引先などの関係各社への通知、現在の対応状況や事故の経緯などの公表、問い合わせや苦情対応などもしっかりと行うことが重要です。

再発防止・信頼回復のための対策

事故の収束に向けて、発生原因から再発防止策を策定し実施します。再発防止に当たっては「人的」「技術的」「物理的」観点から実施し、十全なセキュリティ対策となるよう努めましょう。その他、信頼回復に向けて再発防止策までを含め、事故の顛末を公表することも重要です。

企業・組織の個人情報流出・情報漏えいの事例と対策

企業や組織の個人情報の流出・情報漏えいは、毎月のように発生しています。サイバー攻撃のような外部要因だけでなく、内部不正のような内部要因の情報漏えいや、委託先企業などからも情報漏えいが発生する可能性がある点は覚えておかなければなりません。

情報漏えいに対しては、多くの事例が報告されているため、事例を参考にしつつ自社に適したセキュリティ対策を実施することが重要です。事例や具体的な対策については、こちらの記事で詳しく解説しているため、併せてご覧ください。

• 個人情報流出の事例について対策と併せて解説
• 企業に必要な情報漏えい対策とは？ 押さえておくべきポイントなど

個人情報流出は、流出された個人だけでなく流出してしまった企業にとっても深刻な被害をもたらす可能性があります。事前の防止策と併せて、事後の対応策についても事前に検討することが重要です。

日立ソリューションズ・クリエイトでは、企業から漏えいした情報を調査し、改善案を提案する「漏えい情報調査サービス」を提供しています。セキュリティ事故の予防から発生後の適切な対応までをサポートするサービスです。情報漏えい対策を含むセキュリティ対策にお悩みの場合は、ぜひ一度ご相談ください。
・漏えい情報調査サービス