巧妙化する不正アクセスや人為的なミスにより、個人情報漏洩事故が後を絶ちません。
企業として未然に個人情報漏洩対策をしておくことはもちろんですが、万が一「自社の個人情報が流出してしまった!」と気が付いた時、いったいどんな事後対応を行う必要があるのでしょうか。
この記事では「個人情報の漏洩が起きた時の対応の流れ」を解説します。記事後半で個人情報の漏洩に関してよくある質問への回答もまとめているので、ご一読ください。
対応方法が事前に明文化されていないと、迅速かつ正確な対応が難しい個人情報漏洩。社内で共有しやすい対応手順マニュアル資料をご用意しています。ぜひダウンロードのうえご活用ください!
\不正発覚した時に企業としてどう対応しますか?/ 
個人情報の漏洩が起こった時の対応の流れ
個人情報の漏洩が起こった時、どのようなステップで対応を行えばいいのでしょうか。
ここでは対応方法を、以下9つのステップに分けてご紹介します。
- 【ステップ1】個人の判断で対応せず上長に報告する
- 【ステップ2】情報漏洩の対策本部を設置する
- 【ステップ3】影響の範囲が大きい場合は早めに公表する
- 【ステップ4】原因や影響範囲を調査する
- 【ステップ5】個人情報保護委員会へ報告する
- 【ステップ6】被害を最小限に抑えるための初期対応を行う
- 【ステップ7】二次被害を防ぐための対策を行う
- 【ステップ8】根本的な問題を検討し対策を検討する
- 【ステップ9】被害の報告など必要な書類を提出する
それぞれ詳しく解説していきます。
【ステップ1】個人の判断で対応せず上長に報告する
個人情報の漏洩の疑いがあると感じたときは、自己判断で対応せずに上長に一次報告・相談することが重要です。
最初のステップで最も大切なことは
- 焦らないこと
- 個人情報漏洩の疑いを見て見ぬふりをしないこと
です。
もしも「漏洩していなかった」場合は問題ありませんが、「漏洩していた」場合は対応が遅れることにより被害が拡大する恐れがあります。
些細なことでも一次報告を行い、関係者で本当に個人情報が漏洩したか否かの事実確認が取れ次第、速やかに次のステップへ移りましょう。
【ステップ2】情報漏洩の対策本部を設置する
ステップ2は、情報漏洩に関する対策本部の設置です。
このステップで最も大切なことは、自社内の
- 経営管理部門
- 情報システム部門
- カスタマーサポート部門
- 広報担当部門
などからなる少数精鋭で意思決定を行う専門の対策本部を結成することです。
緊急度・重要度が高い個人情報漏洩の事後対策において、対策本部の人数が多くなると情報が錯綜して異なる情報が伝わるリスクがあります。正しい情報が伝わるまでの時間も増え、結果として損害が拡大してしまう恐れもあるでしょう。
被害を最小限に留めるべく、できるだけ情報の集約から方針決定、各所への通達がスムーズに行われるメンバーを選別しましょう。
【ステップ3】影響の範囲が大きい場合は早めに公表する
ステップ3は、影響の範囲が大きい場合は早めに個人情報の漏洩の事実を公表することです。
一般的に事故が発生した場合
- 発生事象・原因調査
- 影響範囲の特定
- 対策の検討
- 公表・謝罪
という手順で進めることが多いです。そのため外部への公表が対策後になることもあります。
しかし以下のようなケースでは、早めに公表することが重要です。
・情報漏洩の影響範囲や件数が明らかに多い場合
・公表しないことでさらに被害が拡大してしまうことが考えられる場合
また個人情報の漏洩の事実を公表した後は
- 自分の個人情報は漏洩していないか
- 漏洩した場合どんなことが起こりえるのか
- 賠償はあるのか
などの問い合わせが、コールセンターやWebフォームに殺到する可能性があります。
顧客からのこれらの問い合わせに対しても1つ1つ丁寧に真摯な対応をできるよう、回答例を準備しておくことが重要です。
【ステップ4】原因や影響範囲を調査する
ステップ4は、原因や影響範囲を調査することです。このステップで最も大切なのは、発生している事象の原因と影響範囲を事実に基づいて調査することです。
個人情報の漏洩の原因は大きく2種類に分かれます。
1つ目は、不正アクセスやウィルスなど悪意のある第三者によって引き起こされるケースです。
具体的には、Emotet(エモテット)などの不正なメールから感染すること、不正プログラムによりパソコンで入力した業務データやメール内容が外部に漏れてしまうことなどが考えられます。
2つ目は、人為的なミスにより引き起こされるケースです。
具体的には、パソコンやUSBメモリの入ったカバンを電車の車内や立ち寄った店舗に忘れたり、メール送信時に宛先を間違えて送ったり、ということが考えられます。
個人情報の漏洩の原因が上記のいずれかに該当するかを特定し、次に時系列で「いつ・誰が・どこで・どんなことを行って・どのくらいの件数が・なぜ発生したか」という調査を事実ベースで確認するようにしましょう。
このとき、憶測をもとに調査すると闇雲に時間がかかることがあるため、事実ベースであることが重要です。
あわせて、二次被害として起こりうるリスクの整理を行うことも大切です。
リスクの整理は、
- 暫定的にはどんな対処を行うことで防げるか
- 恒久的にはどんな対処を行うことで今回の事象が再発しないようになるか
という2つの観点に分けて分類すると、次のステップがスムーズです。
【ステップ5】個人情報保護委員会へ報告する
ステップ5は、個人情報保護委員会への報告です。2022年4月から、個人の権利利益を害する恐れがあるときは、個人情報保護委員会への報告が義務づけられてます。
・要配慮個人情報が含まれる事態
・財産的被害が生じるおそれがある事態
・不正の目的をもって行われた漏洩等が発生した事態
・1,000人を超える漏洩等が発生した事態
詳細については、個人情報保護委員会の『漏えい等報告・本人への通知の義務化について』で詳しく記載されています。
もし、これを読んで、不明点等があれば弊社にご相談ください!
\不正発覚した時に企業としてどう対応しますか?/
【ステップ6】被害を最小限に抑えるための初期対応を行う
ステップ6は、被害を最小限に抑えるための初期対応を行うことです。
整理したリスクのうち、暫定的に対処できる部分に対応します。原因によって、最も有効な初期対応はケースバイケースとなるため、具体例を紹介します。
| 不正アクセスやウィルスなど悪意のある第三者によって引き起こされたケースの場合 | ・ウィルスの感染が疑われる該当のパソコンのインターネット接続/ネットワークを遮断する ・情報システム部門のマスタ権限で該当のアカウントの停止、パスワード変更を行う |
|---|---|
| 人為的なミスにより引き起こされたケースの場合 | ・紛失したカバンの色や形状、置き忘れた場所等の情報を鉄道の駅や忘れ物センター/警察に確認する ・誤ってWeb に公開した情報を削除する ・メールを誤送信してしまった先にすぐに謝罪・削除の依頼を行う |
【ステップ7】二次被害を防ぐための対策を行う
ステップ7は、二次被害を防ぐための対策を行うことです。
こちらも初期対応同様、原因によって最も有効な二次被害対策はケースバイケースとなりますが、具体例を紹介します。
| 共通 | ・漏洩した情報の中に、クレジットカードや銀行口座番号、ID・パスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID 停止などを促す ・漏洩した情報の回収 |
|---|---|
| 不正アクセスやウィルスなど悪意のある第三者によって引き起こされたケースの場合 | ・ウィルス名の特定、感染が疑われる該当のパソコンのウイルス駆除 ・脆弱性の除去 ・個人のパソコンから会社の機密情報や個人情報の削除 |
| 人為的なミスにより引き起こされたケースの場合 | ・警察へ紛失届の提出を行う ・Web 検索サイトからのキャッシュ削除 ・Web サイトの停止、Web サイトの脆弱性の除去 |
【ステップ8】根本的な問題を検討し対策を検討する
ステップ8は、根本的な問題を検討し対策を検討することです。
暫定的な対応で二次被害対策まで完了したら、次は恒久的な対応を検討する必要があります。こちらも発生した原因によってケースバイケースとなるため、具体例を紹介します。
| 不正アクセスやウィルスなど悪意のある第三者によって引き起こされたケースの場合 | ・無料のファイル交換ソフトを使うことをやめて、専用のファイル交換ツールを導入する ・情報の暗号化やアクセス制御ルールの改定・運用する ・脆弱性が見つかったら、各自がすぐに対応し情報システム部門で適用状況を確認できるようにする |
|---|---|
| 人為的なミスにより引き起こされたケースの場合 | ・情報セキュリティ教育の強化 ・情報資産の保管方法の見直し、情報資産の持ち出し管理規定の改定・運用 |
【ステップ9】被害の報告など必要な書類を提出する
ステップ9は、被害の報告など必要な書類を提出することです。
「被害の報告などに必要な書類」は、大きく3種類あります。
1.個人情報が流出してしまった本人や報道機関に通知する目的の公表書類
2.警察に提出する目的の遺失届・被害届
3.事業会社が属する業種別の監督官庁に対して報告する目的の書類
具体的にどんな内容で、どの目的の時に利用するか、を確認しましょう。
| 提出先と必要な書類 | 書類に記載する内容 | 目的 |
|---|---|---|
| 個人情報が流出してしまった本人や報道機関に通知する目的の公表書類 | ・序文(情報漏洩のお詫び、会社としての姿勢など) ・事故発生に関する状況報告 ・事実経緯 ・調査方法及び状況 ・漏洩した情報の内容 ・事故の被害内容(二次被害の影響含む) ・事故原因 ・当面の対応策 ・再発防止策 ・問い合わせ窓口(事故に関する連絡先) | ・個人情報が流出してしまった本人が詐欺や迷惑行為などの被害にあわないよう注意喚起を行う ・対外的な情報に不整合が生じないようにする |
| 警察に提出する目的の書類 | ・遺失届 ・盗難の被害届 ・そのほか被害届 | ・なくしたものが見つかったときの連絡を受ける ・盗難などの事件/事故調査の協力を得る |
| 事業会社が属する業種別の監督官庁に対して報告する目的の書類 | ・事業者名 ・発覚日 ・事故原因 ・漏洩した情報の内容 事故の被害内容(二次被害の影響含む) ・警察届出有無 ・個人への連絡 ・再発防止策※その他、各監督官庁により記載指定あり | ・業界内での対策の検討、広報啓発の実施 |
※参考:情報漏えい発生時の対応ポイント集
IPAの情報漏洩発生時の対応ポイント集のほかにも、無料で使える社内で共有しやすい対応手順マニュアル資料をご用意しています。ぜひダウンロードください。
\情報漏洩発生!万が一のとき、どうすればいいの?/
不正アクセス被害後の対応手順マニュアル
▲無料ダウンロード資料
個人情報の漏洩に関してよくある質問4つ
ここでは、個人情報の漏洩に関してよくある質問4つについてご紹介します。
- 個人情報の漏洩は多いの?
- 個人情報の漏洩に備えるための保険はある?
- 個人情報の漏洩を防ぐための対策は無いの?
- 個人情報漏洩の対応などで罰則を受けることはある?
\情報漏洩時の企業が負う損害賠償額知っていますか?/
不正者の個人情報を使った「儲け方」手口と対策
▲無料ダウンロード資料
【質問1】個人情報の漏洩は多いの?
個人情報漏洩は、巧妙化する不正アクセスの影響や人為的なミスにより、多く発生しています。
2022年ニュースで話題になった代表的な事例だと3月のJRのえきねっとに扮したフィッシングメール、7月の兵庫県尼崎市の個人情報を含むUSBメモリーの紛失がありますが、これらも氷山の一角と言えるでしょう。
2021年以降の個人情報漏洩事例を一覧しましたので、気になる方はこちらも確認してみてください。
【質問2】個人情報の漏洩に備えるための保険はある?
「個人情報漏洩保険」や「サイバー保険」などが存在します。
「個人情報漏洩保険」が情報漏洩の費用損害・賠償損害のみを対象としていることが多く、「サイバー保険」は「個人情報漏洩保険」の内容に加えて外部からの不正アクセスなどにより発生した損害を包括的に補償してくれることが多いです。
さらに「サイバー保険」は、事故発生時の調査費用なども保険内容に含まれていることもあるため、万が一に備えて保険会社に問い合わせておくことも重要です。
それぞれの保険に関しては、以下記事をご一読ください!
▼個人情報漏洩に関する保険に関してはこちらをチェック
▼サイバー保険に関してはこちらをチェック
【質問3】個人情報の漏洩を防ぐための対策は無いの?
個人情報の漏洩は不正アクセスやウィルスなど悪意のある第三者によって引き起こされるケース・人為的なミスにより引き起こされるケースの2種類があり、それぞれ対策が存在します。
不正アクセスやウィルスなど悪意のある第三者によって引き起こされるケースを未然に防ぐには、Webサイトの脆弱性対策を行うことやパソコンにセキュリティソフトを導入することが有効です。
たとえば不正アクセス検知システム「O-MOTION」は、ログイン時に
- 不正な動きをしている場合
- 同一アドレスから機械的に何度もアクセスしている場合
など、不正なログインを判定できるツールです。
認証サービスと組み合わせることにより、正常なお客様の行動を妨げずに疑わしいアクセスを防ぐことができることから、非常に有効な手立てとなりえます。
\期間限定トライアル受付中/
O-MOTIONの詳細を見る
▲無料の資料請求はこちら
人為的なミスにより引き起こされるケースを未然に防ぐには、雇用契約時に守秘義務に関する書面を取り交わし、従業員による悪意のある個人情報漏洩が起きた時に対策を行えるようにすることが重要です。
また、巧妙化するフィッシングメールやウィルスの手口を学び、怪しいメールのリンクはクリックしない、といった教育を行うことが有効です。
より詳しく個人情報漏洩の対策を知りたい方はこちらもご確認ください。
【質問4】個人情報漏洩の対応などで罰則を受けることはある?
個人情報漏洩には3つの罰則規定があり、その内容に該当すると罰金や懲役が発生します。
1.国からの命令に従わなかった場合
2.虚偽の報告をした場合
3.従業員等が不正な利益を図るために個人情報データベースを提供・盗用した場合
この罰則を受けるのは、違反行為をした本人だけではありません。所属する法人に対しても罰則や罰金刑が課せられることがあります。
罰金や懲役などの具体的な金額・期間、罰則以外のリスクについて詳しく知りたい方はこちらもご覧ください。
まとめ:個人情報漏洩後の事後対応は、迅速かつ正確に
この記事では、個人情報漏洩後の事後対応の流れとよくある質問4つについて解説しました。
事実ベースで迅速な調査・公表が求められる個人情報漏洩後の対応。未然に個人情報が漏洩しないように対策を行うことはもちろん、誠実な事後対応次第では失った信頼も早期に回復できる可能性も秘めています。
有事の際の姿勢こそ、その企業の真価が問われる時代です。個人情報漏洩を含めた不正アクセス被害後の対応マニュアルについては、以下をダウンロードのうえご活用ください!
\情報漏洩発生!万が一のとき、どうすればいいの?/
不正アクセス被害後の対応手順マニュアル
▲無料ダウンロード資料
