個人情報流出・・・!? 適切な対応でピンチをチャンスに変えよ！

初めまして、ＡＺＸの弁護士の高橋です。車とラジオが好きな三十路（みそじ）です。

7月に当事務所に加入しましたので、まだまだ皆さんに「顔」が売れていないと思いますが、宜しくお願い致します！

さて、今回は、最近何かと話題になることが多い、個人情報の流出について、事例を交えながら皆さんと一緒に考えてみたいと思います。

ある日、ポストを開けたら、聞いたこともない会社からダイレクトメールが届いていた。そんな経験をしたことがある方は結構いらっしゃるのではないでしょうか？しかも、そうしたダイレクトメールは、結構「ツボを抑えている」ため、余計に気持ち悪い感じがします（たとえば、そろそろ車買いたいなぁと思っていると車関係のＤＭが届いたり）。もしや、個人情報が流出している…？

「個人情報保護」という言葉は耳にタコができるぐらいよく聞きますよね。しかし、そんな聞き慣れた言葉の重みを再認識させてくれたのが、先日世間を賑わせた「ベネッセ個人情報流出事件」でした。（今回は事件の解説が主ではないので、事件の詳細は省略します。）

事件を聞いて、（企業側の立場として）皆さんは、「ウチの会社はセキュリティもしっかりしているし大丈夫。」と思いましたか？それとも、「ウチの会社にも起こり得ることだ。他人事ではない。」と思いましたか？

多くの企業では、情報流出を防ぐために、ハードだけでなく、ソフト面（社員教育）に力を入れています。しかし、それは同時に、現在の技術では、情報流出を未然に完全に防ぐことは不可能だということを意味しているのではないでしょうか。そして、究極的には人のモラルに頼らなければならない以上、情報流出はどこの会社でも起こり得ることだと、私は思います。

一．事件発生

さて、前置きが長くなりましたが、今回は、個人情報流出が起こってしまった後の初動の対策について一緒に考えてみましょう。あなたが社長を務めるＸ社（未上場）で、以下の「事件」が起こったと仮定してみてください。

１．　ある営業担当者Ａの個人ＰＣが帰りの電車の中で盗難にあった。担当者Ａは自宅でも仕事をすることがあるため、業務の一部をＵＳＢメモリを使って個人ＰＣに移し、自宅に持ち帰っていたのだが、中にはユーザーに関する個人情報が入っていた。このようなやり方は会社が指示していたものではないが、黙認されていた。（いわば、誰もがやっている、公然の事実と化していた。）

２．　入っていた情報は、ユーザーの氏名、メールアドレス、facebookアカウント、年齢、性別、郵便番号から分かる範囲の居住地域である。

３．　今回は、サービスの一部の機能の更新作業を自宅で行う予定だったので、一部の会員の情報が入った部分のみをＰＣに入れていたが、それがどの部分であるかは分からない。

４．　Ｘ社がユーザーに提供しているサービスは、月額500円の有料サービスであった。

 

Ｘ社のワンマン社長であるあなたは、持ち前の強いリーダーシップと決断力を発揮し、次のような判断を直ちに下し、社内に指示した。

●来年にはＩＰＯも予定しているし、この時期に不祥事が世間に知れることは何としても避けたい。ましてＰＣが盗まれたというだけであって、個人情報が流出したとユーザーからクレームがきたわけでもない。現段階では公表する必要はない。

●多少問題になったとしても、担当者Ａが勝手にやったこととして処理すればよい。会社は黙認していたとはいえ、推奨していたわけではない。就業規則にも、個人情報を持ち出してはいけないと書いてある（社長である自分もすっかり忘れていたが・・・汗）。

数ヵ月後、Ｘ社宛に内容証明郵便が届いた。Ｘ社の過失によって個人情報が流出したため、個別に謝罪と慰謝料100万円を求めるという内容。差出人は、Ｘ社のサービスを使用していることが家族にばれないように偽名で登録していたのだが、その偽名で別の会社からＤＭが届いたため、Ｘ社から情報が漏れたことは明らかだとしている。一週間以内に対応しない場合は、このことをブログに書き、マスコミに公表する、と結んでいる。

なんだか、雲行きが怪しくなってきましたね・・・。さて、社長はどこで対応を間違えたのでしょうか？

二、初動が肝心！

１．　何を把握すべきか

まず、初動の対応としては、漏洩した情報の特定（誰の、いかなる情報か）を試みることが不可欠です。仮に、漏洩した情報が多数の会員に関わるものであっても、誰かという点が特定できれば、その人に直接連絡をとって説明、謝罪することができます（公表まではしなくてもよい可能性が出てきます。）。また、漏洩した情報に、クレジットカードの番号などが含まれていた場合、第三者に勝手にカードを使用され、会員に大きな被害が出る可能性もあるため、急いで防止策を取らなければなりません。こうした面でも、漏洩した情報の特定は非常に大切です。

２．　何を公表すべきか

特定が難しい場合は、ホームページ等での告知や記者会見を開いての公表も検討しなければなりません。公表の内容としては、①盗まれたのは「●●サービスの会員」の個人情報であり、最大●名分であること、②盗まれた内容は、氏名、メールアドレス、家族構成、・・・ であることなど、まずは「想定される被害人数と被害の内容」が基本になります。このとき、被害を過小評価したくなる気持ちは分かりますが、当初の発表から段々被害が拡大していくと、会社の隠ぺい体質や危機管理能力を疑われ、一気に信頼を失う結果にもなりかねませんので、想定される被害を誠実に公表すべきだと思います。さらに、上場会社の場合は、金融商品取引法及び証券取引所の規則に従って、適時開示を行う必要性についても検討しなければなりません。

３．　金銭補償の提示をすべきか

金銭補償の要否、金額についても迷うところだと思われます。先日のベネッセ事件では、発生当初、社長が金銭の補償は考えていないと発言して物議を醸しました（最終的には、500円相当の金券を提供することにしたようです）。会社が金銭を支払うのはできる限り避けたいと思う気持ちは分かりますし、この時点で法的な補償義務が確定しているわけではないのですが、あとから批判が大きくなって方針を転換するのは、対応が後ろ手に回った感じがして何となく「カッコ悪い」印象を持ちます。（ネット社会では、「何となくカッコ悪い感じ」が増幅し、結構な痛手になることも多いのは皆さんご存じの通りです。）　また、いくらの金銭補償がよいのかという点も難しいのですが、よく耳にするのは、500円～1000円のクオカードや商品券、またはそれに値する自社サービスの割引券やポイントなどを提供するといった内容です。

～ご参考～

損害賠償を求める裁判になった場合、裁判所はどのような要素を考慮して、賠償額を決めているのでしょうか。裁判では、通常、精神的損害に対する慰謝料という形で認められますが、1人あたり（弁護士費用も含み）5000円から6000円というケースが多いです。しかし、中には、１人当たり3万5000円というものもあります（東京地裁平成19年2月8日）。この事件で流出したのはエステサロンに登録している女性の個人情報で、身体的特徴などセンシティブな情報（≒絶対に人に知られたくない情報）が含まれること、二次被害も発生していること、などが考慮されています。

どうしても裁判になると１人あたりの賠償金額は高くなりますが、会社自らが金銭補償をする際にも、金額の多寡を決めるにあたって裁判所の考え方や考慮要素も参考にしておいた方がよいと考えます。

４. その他

個人情報が流出した時に考えなければならないポイントとして、①官公庁への報告の要否、②弁護士の確保、③再発防止策、④流出した個人情報の回収の可否、④担当者の処分、などが考えられます。紙幅の関係上、今回これらに触れることはできませんでしたが、皆さんの会社でも、実際に流出事件が発生する前に、防止策だけでなく、流出が発生した後の対応策についても、一度じっくりと話合いの場を持つことが大切だと思います。