anderson-mori-tomotsune

シンジです。先日、企業研究会セミナーで「企業内部情報の漏洩リスクとその対策ポイント」について、アンダーソン・毛利・友常法律事務所の弁護士、中崎先生からあれこれ教わる機会がありましたので、そのお話です。

特定個人情報に関わる法律とガイドライン

要するにマイナンバーのことです。事業者が参考に出来る物はいくつかあって、特定個人情報保護委員会というものがありまして、これが公表している規則、指針、ガイドラインを参考にせよとのこと。例えば、

  • 特定個人情報の漏えいその他の特定個人情報の安全確保に係わる重大な事態の報告に関する規則

とか

  • 事業者における特定個人情報の漏えい事案等が発生した場合の対応について

だとか

もはや頭がふっとーしそうです。もはや弁護士先生方に丸投げしたくなりそうな雰囲気ぷんぷんしていますが、企業としてやっておくべきことはちゃんとありますのでそこは抑えたいところです。

実際に漏洩事故が起きたことが分かったらやるべき事

漏えいしたことを特定個人情報委員会へ報告する義務がありますが、実はこれには様々な条件とワークフローが定められています。法律上の位置づけとしては、「努力義務」と書かれている部分もありますが、これはどういう意味かというと、拘束力は無いけどなんやかんやゆーとらずにやりなさいよってことなので、よーするにやれってことです。

報告すべきケース、しなくてもいいケース

「重大な事態が現に発生(おそれを除く)」この場合に確報の法的義務があります。では重大事態とはなんなのか。

  • 情報提供ネットワークシステム又は個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合。
  • 漏えい等した特定個人情報の本人の数が101人以上である場合。
  • 電磁的方法によって、不特定多数の人が閲覧出来る状態となった場合。
  • 職員等(従業員等)が不正の目的で利用し、又は提供した場合
  • その他事業者において重大事案と判断される場合

シンジの結論、このリストみながらやばそうな雰囲気を感じたら速攻で弁護士に連絡しようと思いましたマジで。

誰が報告するのか

これ結構難しいです。なぜなら、マイナンバーの管理を外部に委託しているケース、更に再委託するケースがかなりあるからなんですね。これらの参考フロー図も公開されていますが、基本的には、

  • 再委託先からの直接の委員会への報告義務はありません
  • 再委託先は委託先と委託元への2社へ報告する義務があります
  • 再々委託先になっても流れは同じです
  • 委託した会社が委託先などから報告を受けて、委員会へ報告する義務があります
  • 委託先が直接委員会へ報告することも可能ですが、結局は委託元が報告する義務があるのでもはや無駄です

事案発覚時に事業者が講じるべき処置

時系列で書くと

1.事業者内部における報告
2.被害の拡大防止
3.事実関係の調査、原因の究明
4.影響判定の特定
5.再発防止策の検討・実施
6.影響を受ける可能性のある本人への連絡等
7.事実関係、再発防止策等の公表

というわけですが、この時系列は参考までということで、必ずしもこの流れでやりなさいというわけではありません。企業の体制に応じてこの辺は見直し、予め策定しておくことが重要です。

事業者内部における報告

「責任のある立場の者」に直ちに報告すること。

と書かれているんですね。一体それは誰なんだということなのですが、法律上では役職などは限定されていません。ただ事実上、情報は「責任ある立場の者」に集まるわけですから、取扱規程等により、事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要とのことでした。

事案発覚時に事業者が講じるべき処置

内部報告と同時に、拡大防止措置をとりなさいと。外部からの不正アクセスや不正プログラムの感染が疑われる場合は、さっさとネットワークから切り離せ(LANケーブルぽいしなさい)などなどやりましょうと。

それから、調査した事実関係を元に、「影響範囲の特定」を行いますが、これは最終的には内容次第で如何様にも変わるのですが、例えば漏えい事案であれば、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえて、影響の範囲を特定することが一般的ではないかと。

んでもってそれらの情報を元に、再発防止策の検討をさっさとやりましょうという流れ。

影響を受ける可能性のある本人への連絡等

「事案の内容等に応じて」、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに本人へ連絡、又は「本人が容易に知り得る状態に置くこと」が求められます。これについては、電話で連絡したとか、口頭で伝えた、で済めば良いのですが、会社にいない、電話も出ない、なんてときには、郵便等で連絡するのでもOKということでした。ただし返送されなければ。
ちなみに「本人が容易に知り得る状態にして置くこと」としては、本人がアクセス(ログイン)できるホームページへの掲載や、専用窓口の設置による対応が想定されているそうです。まぁこの辺は多種多様でいいと思います。

本人への連絡・公表を省略出来るケース

特定個人番号を漏えいしたら、何でもかんでも本人へ連絡しなければならないわけではありません。

  • 紛失したデータを第三者に見られることなく速やかに回収出来た場合
  • 高度な暗号化等の秘匿かが施されていて、紛失したデータだけでは本人の権利利得が侵害されていないと認められる場合
  • サイバー攻撃による場合等で、公表することでかえって被害の拡大に繋がる可能性があると考えられる場合

というわけで、こちらも慌てず落ち着いて状況判断しましょうねということです。

実際に報告しなければならなくなった、どうする

漏えいには様々なケースが考えられます。「不正の目的」もあれば「不慮の事故」とか「不注意」とか「システムトラブル」などなど。報告書の様式もありますし、主務大臣への連絡方法など細かなことが定められていますが、もはやこの時点で事故ってるのは確定しているので、弁護士に相談すべきです。

前述にもありましたが、特定個人情報保護委員会への報告が不要なケースもあります。以下の全てを満たしている場合です。

  • 影響を受ける可能性のある本人に連絡した場合
  • 外部に漏えいしていないと判断される場合
  • 従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
  • 事案関係の調査を了し、再発防止策を決定している場合
  • 事案における特定個人情報の本人の数が100人以下の場合

漏えい時の、事業者のリスク

さぁ、本題です。実際にお漏らししちゃった事業者は、どんなことが起きるのでしょうか。

  • 個人情報保護法の責任
  • 番号法上の責任
  • 監督機関の追及
  • 民事責任
  • 事後対応の費用
  • 再発防止に向けた体制整備の費用

てんこ盛りですね。さらに今だと特典がついてきます。

お漏らし第一号になったら

まずマスコミの格好の餌食にされます。
国から相当叩かれます。
かなり厳しい判決になる事必至です。

そして最高の特典は、過去の漏えい事例、特に第一号として半永久的にあっちこっちでネタにされます。バスマーケティング的には成功なのかもしれませんが(ぇw

事前の対策が重要

やることはいっぱいあります。もし事故が起きたらどう対応するか、目標を立てて訓練するとか、漏洩防止体制の整備を行うとか、でもなかなか何したらいいか分からないし、お金もかかりますよね。そこでお手軽対策は、

  • マイナンバー紛失に罰則規定を設けないこと

です。まぁそりゃ悪意がある場合はもはや刑事事件なので別問題ですが、多くの場合はシステム的なトラブルとか不慮の事故ですよ。だからといって経営者のみなさん、従業員を責めないであげて欲しいです。なぜならば、現場で気づくマイナンバー漏えいの事故に罰則があったとしたら、それを隠蔽するやつが出てきてもおかしくないからです。

ちなみにマイナンバーカードを個人的に紛失した、とかいうのは企業の責任ではないので、個人も会社に届け出る必要は無いですし、会社もほっといてOKです。

事故後の投資額と事故前の投資額を計算したらいい

セキュリティにはお金がかかるものです。でも保険とは違いますよ。内部統制などにも影響する、組織力を強くする手段なのです。ただし、事故が起きる前、対策のために投資を行う金額と、事故が起きてからの投資額は桁違いになるはずです。築き上げた自社ブランドを一瞬にして破壊するほどの力を持つマイナンバー漏えい第一号にならないためにも、「ウチは外部委託したから大丈夫」とか、そんな甘ったれた考えは捨てて、もし事故が起きたらどうするかを考える組織を形成し、体制の整備を行うべきだと思いますよ。

元記事はこちら

マイナンバー漏洩企業第一号になるともらえる特典