どんな小さな会社でも、個人情報の取扱はあるものです。ニュースで目にするような個人情報の漏えいは決して他人事ではありません。顧客名簿の入ったパソコンの紛失、メールの誤送信、クラウド設定ミスなど、ちょっとしたきっかけで事故は起こります。そして問題になるのは、漏えいそのもののみならず、その後の対応です。

　漏えいが起きたときに第一に行うべきは、事実関係の確認です。何が漏れたのか、何件分か、外部からアクセスできる状態になっていないか、まずは被害の範囲を把握します。同時に、パスワード変更やアクセス遮断など、被害拡大を防ぐ措置を直ちに講じます。

また、個人データ（個人情報を検索できるようにした「個人データベース」を構成する個人情報のことをいいます）が漏えいした場合のうち、一定の場合には、個人情報保護委員会への報告義務があります。具体的には、次のようなケースです。

① 要配慮個人情報（病歴など）が含まれている場合

② 財産的被害が生じるおそれがある場合（例：クレジットカード情報の漏えい）
③ 不正アクセスなど不正の目的をもって行われたおそれがある場合③
④ 漏えいした人数が1,000人を超える場合

　これらに該当する場合は、速やかに（概ね3日から5日以内）に速報を行い、その後、原因や再発防止策がまとまった段階で確報を提出する必要があります。報告は、個人情報保護委員会のホームページで受け付けられています。

自社が報告対象に当たるか迷う場合でも、放置せず、早めに専門家や相談窓口に確認することが重要です。

　また、個人情報保護委員会への報告が義務づけられる場合には、本人への通知も必要になります。通知する際は、漏えいした情報の内容、今後想定される影響、問い合わせ窓口、再発防止策などを整理し、誠実に説明することが求められます。通知の方法は、文書の郵送や電子メールの送信などにより行いますが、本人への通知が困難な場合には、ホームページで公表するなどの代替措置をとります。

事故が起きたときに最も避けたいのは、「様子を見る」「騒がれるまで公表しないで済ませる」という対応です。後から事実が判明すると、かえって信用を失うことになります。なお、事故の経緯や対応内容は、必ず書面やデータで残しておきましょう。

個人情報漏えいは、規模の大小に関わらず起こり得ます。重要なのは、事故をゼロにすること以上に、事故がありうることという前提に立った上で、「起きたときにどう動くか」をあらかじめ決めて、社内に周知しておくことです。これによって、事故を起こしてしまった担当者が事実を隠蔽するという最悪の事態を防ぐことにつながるでしょう。

以上