はじめに

企業・法人の不祥事として、個人情報・機密情報の漏えいがあります。個人情報・機密情報の漏えいが発生した場合には、事実関係の調査、被害者等への対応、関与した従業員等への対応、事前対策・再発防止策など、検討・対応すべき事項が多々あります。このページでは、個人情報・機密情報の漏えいが発生した場合の企業・法人の対応について、ご説明させていただきます。

事実関係の調査

個人情報・機密情報の漏えいが発生した場合には、まずは、なぜ漏えいしたのかという漏えい経路の特定と、何が漏えいしたのかという漏えい範囲の特定が必要となります。事案によっては専門の業者に依頼して、パソコンや携帯電話等の中に蓄積された電子データの調査が必要となることもあります。事実関係の調査の結果を受けて、今後の対応事項・対応範囲を検討することとなります。

被害者等への対応

漏えいした情報が個人情報である場合には、被害者がいる事案となります。このような事案では、個人情報の漏えいによる二次被害を最小限に抑えるための措置が必要となります。例えば、漏えいした顧客の個人情報がインターネット上で公開されてしまった場合には、そのウェブサイトのサーバ管理者に対し、削除を請求する対応を取るべきです。また、自社のWEBサイトの脆弱性が原因で個人情報が漏えいした場合には、WEBサイトの公開を停止したうえで、開発会社に依頼して脆弱性を除去する対応を取るべきです。

また、企業・法人は、被害者に対し、個人情報の漏えいの発生日時、漏えいした個人情報の内容、個人情報の漏えいの原因、企業・法人の対応状況、被害者に依頼する事項(例えば、ID・パスワードを変更すること、クレジットカードの利用を停止することなど)などを盛り込んだお詫びの連絡を早急に行うべきです。被害者への対応として、商品券等の配布を行う例が散見されますが、法律上必要不可欠なものではなく、経済的負担も莫大なものとなることがあります。かえって、少額の商品券等の配布を行うことで、被害者が自身の個人情報を安く見られたと反発し、クレームを招くおそれなどがあるため、必ずしも良い方法とは言えません。被害者から慰謝料を請求されることもありますが、すべての被害者に対して同一の対応を取るべきですから、過大な費用負担を避けるためにも慰謝料の支払は断るべきです。

さらに、監督官庁への報告が必要です。監督官庁は企業・法人の事業内容によって異なり、電気通信分野の場合は総務省、農林水産分野の場合は農林水産省、金融分野の場合は金融庁、特定の監督官庁がない場合は経済産業省となります。また、第三者による不正アクセス、従業員による個人情報の持ち出しなどの場合には、警察にも届出が必要です。なお、監督官庁への報告を行うことで、行政処分を受けることを警戒されるかもしれませんが、相当大規模な漏えい事件でなければ、行政処分を受けることはないと考えられます。

被害者がいる事案としては、取引先から預かっている機密情報の漏えいの事案も考えられます。取引先の機密情報を漏えいしてしまった場合には、取引先に機密情報の漏えいの事実を連絡するとともに、漏えいした機密情報の性質に応じて、損害の拡大を防止するための措置を講じていくことになるでしょう。また、取引先との契約内容(契約書の中の損害賠償に関する条項)や取引先が実際に被った損害などを踏まえて、損害賠償について協議しなければならないケースもあるでしょう。

関与した従業員等への対応

企業・法人としては、個人情報・機密情報の漏えいに関与した従業員に対し、解雇・懲戒処分を検討するべきケースもあります。従業員が故意に個人情報・機密情報の漏えいを行った場合には、懲戒解雇を含む重い処分を検討するべきでしょう。一方で、従業員が過失で個人情報・機密情報を漏えいさせてしまった場合には、重い処分とすることで労使トラブルに発展するおそれがあるため、慎重な判断が必要です。いずれにしても、従業員を解雇・懲戒処分とする場合には、その従業員が個人情報・機密情報の漏えいに関与したことの裏付けが必要となりますので、事実関係の調査の段階で十分な証拠を押さえておく必要があります。

また、従業員が故意に個人情報・機密情報の漏えいを行ったなど、悪質な事案では、その従業員に対する損害賠償請求や刑事告訴を検討すべきケースもあるでしょう。損害賠償請求については、個人情報・機密情報の漏えいを行った従業員のほかに、従業員の採用時に身元保証人を立てさせている場合には、一定の要件・範囲のもとに、身元保証人に対しても損害賠償を請求することが考えられます。刑事告訴との関係では、個人情報・機密情報の漏えい行為の内容によって、背任罪、不正競争防止法違反、不正アクセス禁止法違反などが成立する可能性があります。

個人情報・機密情報の漏えいに役員が関与していた場合には、企業・法人としては、事案の内容に応じて、その役員の解任、損害賠償請求、刑事告訴を検討していくこととなるでしょう。

事前対策・再発防止策

企業・法人としては、個人情報・機密情報の漏えいを発生させないための事前対策、個人情報・機密情報の漏えいが発生した場合の再発防止策を講じていくことが重要です。従業員の採用時に、個人情報・機密情報に関する守秘義務の誓約書を書かせること、個人情報・機密情報の漏えいを起こした場合に備えて、身元保証人を立てさせることなどが考えられます。また、最新のセキュリティシステムを導入するとともに、個人情報・機密情報へのアクセス権者を限定し、施錠管理や入退室制限を徹底するなどの措置を講じることで、漏えいのリスクの最小化を図るべきでしょう。情報漏えいの防止に関するコンプライアンス研修を実施することも有効です。

弁護士にご相談ください

以上のように、個人情報・機密情報の漏えいが発生した場合には、企業・法人の検討・対応事項は多岐にわたります。専門性の高い事項も多々ありますので、お早めに法律の専門家である弁護士にご相談いただくことをお勧めいたします。

不祥事対応についてはこちらもご覧下さい

不祥事対応
●従業員による窃盗・横領
●個人情報・機密情報の漏えい
●法令違反を理由とする行政指導・行政処分
●従業員・役員による刑事事件
●不祥事対応を弁護士に相談するメリット