情報漏洩対策の不備が原因で、重要な情報が流出してしまった場合、組織は賠償金を支払うだけでなく、失った信頼やイメージの回復に努めなければなりません。起こってしまった事故への対応を迅速に行い、同様の事故が二度と起こらないよう、組織での情報漏洩対策を徹底的に見直し、改善策を実施していく必要があります。ここでは、個人情報の漏洩が発生してしまった場合の対応についてご紹介します。
情報漏洩が起きた際の対処方法
情報漏洩が起こらないように対策することは重要ですが、万が一、情報漏洩が起きてしまった場合にはどのように対処すればよいのでしょうか。ここでは、情報漏洩が発生した際の具体的な対処方法について、順を追って紹介します。
1. 情報漏洩の実態を確認し、応急処置を行う
情報漏洩が起きた際の対処法として、まずやるべきことは、情報漏洩の実態把握です。情報漏洩がどの範囲で起きたのか、どこまでの範囲に影響が及んでいるのかを速やかに確認する必要があります。情報の漏洩元が特定できたら、該当するサービスの提供を停止するなど、応急処置を行うことが大切です。
2. 二次被害を防止する
情報漏洩の実態把握と応急処置が済んだら、次に取り組むべきなのは「二次被害の防止」です。情報漏洩の被害者となった個人や企業に連絡を取り、パスワードの変更などの必要な処置を講じてもらいます。被害の拡大はできるだけ最小限に食い止めることが重要です。
3. 原因の究明と情報公開の検討をする
情報漏洩の原因を究明し、被害がさらに拡大するのを防ぐと同時に、今後同じような事故が発生することのないよう再発防止策を講じます。発生した情報漏洩に関する詳細やその対応策について、関係者への情報公開も併せて検討することをお勧めします。
4. 関係機関に報告をする
個人情報保護法では、個人情報の漏洩などが発生し個人の権利や利益を害する恐れがある場合には、個人情報保護委員会に報告するよう義務づけています(個人情報保護法第26条)。
具体的には、情報漏洩の事実が発覚した日から3~5日以内に速報として通知した上で、発覚日から30日以内に確報を通知する必要があります。なお、不正目的で情報漏洩が行われた恐れがある場合には、発覚日から60日以内での確報が必要です。
また、個人情報保護委員会の権限が事業所管大臣に委任されている分野においては、事業者は権限委任先の省庁等へ情報漏洩の事実を報告する必要があります。報告が必要な関係機関はあらかじめ確認の上、漏れなく報告することが大切です。
これら一連の緊急的な対応を行った後に、情報漏洩対策の見直しと改善を行います。情報漏洩対策のどこに不備があったのか原因を追究し、社内体制の整備を行います。情報漏洩対策の見直しは、再発防止策として公表することを求められる場合も少なくありません。ちなみに、事故発覚日から30日以内に、“確報”として個人情報保護委員会の報告フォーム内のすべての情報を入力し、報告する必要があります。フォームでは、再発防止のための措置として、現在実施済みの措置と今後実施予定の措置および完了予定時期を報告することも求められます。