LINEアプリの利用者情報など約44万件が流出した可能性があるとのニュースがありました。(出典:日本経済新聞 2023.11.27)
いまやLINEは誰もが利用する身近なアプリだけにその影響は計り知れません。
しかし、個人情報流出の可能性は身近に迫っています。どんなに対策していても漏洩してしまうことはあると考えるべきでしょう。
例えば、個人情報保護を推し進めプライバシーマーク(Pマーク)制度を運営している日本情報社会推進協会(JIPDEC)でさえ、今月、個人情報漏洩事件を起こしています。
「“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに」(出典:ITmedia NEWS 2023.11.13)
それでは、いろいろ対応を打ったにもかかわらず、もし自社で管理している個人情報が流出してしまったらどうしたらよいでしょうか。もしもに備えて頭の中でシミュレーションしておくだけでも役立ちます。
最初にすべきは、事実確認、流出した個人情報の範囲の特定です。流出した数や内容によっても、その後の対応は異なってくるでしょう。よく確認してみたら早とちりで、流出したのはそもそも個人情報ではなかったかもしれません。確認は大切です。
次に、被害拡大・二次被害の防止です。これは流出した個人情報が使われることによって新たな被害を起こすことを防ぐ手立てです。状況によって異なりますが、被害拡大の防止では、例えば、個人情報を保管するサーバを外部から遮断するなど、二次被害の防止では、例えば、当該クレジットカードを利用停止にするなどです。
被害拡大・二次被害の防止は、提供しているサービスによって対応が異なります。自社のサービスにとって被害拡大・二次被害の防止とはどのようなことか考えておくとよいでしょう。
そして、同時に行うべきが、個人情報を漏洩された人(本人)への連絡です。これは必ず行わなくてはなりません。この際、個人情報の事実を伝えると同時に問い合わせ窓口を連絡する必要があります。
更に、個人情報保護委員会への報告です。個人情報の流出によって個人の権利利益を害するおそれがあるときは、前述の本人への連絡と共に個人情報保護委員会への報告が個人情報保護法で定められています。
最後に、再発防止策を検討して、実施することとなります。
現在、事業規模の大小にかかわらず、法人だけでなく個人事業主であっても、個人情報保護法の対象となっています。もちろん、普段から個人情報の漏洩に備えて対策することは大切です。しかし、どんなに対策しても起こってしまうかもしれない事故の対処を確認しておくことも、また大切です。
是非、この機会に考えてみてください。
(メルマガ「IPビジネスだより 2023年11月号」から転載)