個人情報漏洩が起きた場合の会社の対応・責任 「個人情報が漏れたかもしれない」と気づいたとき、会社は何をすべきでしょうか。対応が遅れると、法的責任が重くなり、報道や行政指導のリスクも高まります。この記事では、漏洩発覚後の初動から法的義務まで、具体的な手順を解説します。 個人情報漏洩が「会社の問題」になる理由 個人情報を取り扱う会社は、個人情報保護法(個情法)に基づく安全管理義務を負っています。 従業員のミス・システムの脆弱性・外部からの不正アクセスなど、漏洩の原因は問いません。自社が保有する個人情報が外部に出た場合、会社は「管理責任」を問われます。 漏洩が起きた場合の会社のリスクは三つあります。 一つ目は、個人情報保護委員会への報告義務違反。二つ目は、被害者(本人)への損害賠償責任。三つ目は、行政による指導・勧告・命令の対象になることです。 報告義務の基本:個人情報保護委員会への報告 2022年改正個人情報保護法により、一定の漏洩等は「個人情報保護委員会への報告」と「本人への通知」が義務化されました。 報告が必要な主なケースは以下のとおりです。 要配慮個人情報(病歴・犯歴等)の漏洩 財産的被害が生じるおそれがある漏洩(クレジットカード情報等) 不正の目的によるおそれがある漏洩 1,000件以上の個人情報の漏洩 報告は「速報(3〜5日以内が目安)」と「確報(30日以内)」の二段階で行います。 STEP1|漏洩の事実を確認・記録する 漏洩が疑われる段階から、事実確認と記録を同時並行で進めます。 確認すべき事項は以下のとおりです。 何のデータが、どのくらいの件数、漏洩したか いつ、どの経路で漏洩したか(または漏洩の可能性があるか) 外部からの不正アクセスか、内部からの持ち出しか、誤送信・誤掲載か 漏洩先が特定できるか 「漏洩したかもしれない」の段階でも、記録を開始してください。後から証拠を再現することは困難です。 STEP2|社内の初期封じ込めを行う 漏洩の拡大を止めることが最優先です。 問題のあるシステム・アカウントへのアクセスを停止する 誤って送信・掲載した情報を削除・回収できるか確認する 関係者(担当者・上司・IT部門・法務)に情報を集約する この段階で外部(プレス・取引先等)への情報発信は行わないでください。事実確認が不十分な状態での発表は混乱を招きます。 STEP3|個人情報保護委員会への速報 漏洩が義務報告の対象と確認できたら、3〜5日以内を目安に個人情報保護委員会へ速報します。 速報に必要な情報は以下のとおりです。 漏洩等が発生した概要(日時・件数・内容) 現在までに把握している事実 今後の対応予定 速報は「確認できた事実のみ」を報告します。不明な点は「調査中」と記載して問題ありません。 STEP4|本人への通知 義務報告の対象となる漏洩では、本人への通知も必要です。 通知には以下を含めます。 漏洩した個人情報の種類と件数 漏洩の発生原因(判明している範囲) 本人が取りうる対応(クレジットカードの停止等) 問い合わせ窓口 通知方法は、メール・書面・ウェブサイト上の告知など、状況に応じて選択します。 STEP5|被害者対応・損害賠償への備え 個人情報の漏洩で被害を受けた本人から損害賠償請求を受ける可能性があります。 損害賠償の金額は、漏洩した情報の性質・漏洩の件数・会社の故意・過失の程度・二次被害の有無によって変わります。 謝罪文の文言は、「法的責任の承認範囲」に直結します。「法的責任を認める」という表現は訴訟において不利な証拠になりえるため、弁護士が草案を確認することが重要です。 よくある相談例 あるイベント運営会社では、SNS でのお知らせ投稿に関係者の個人識別情報が誤って含まれていたことが発覚しました。本人から損害賠償請求を提起され、謝罪文の表現・和解金の設定・訴訟対応を弁護士と進めることになりました。 謝罪文は「道義的責任は認める」が「法的責任は訴訟で判断を求める」という構成で作成し、外部公表を想定した文言の精査を行いました。 ブライトへご相談ください → ご相談はこちら:/corporationlaw/ 電話:0120-929-739(受付 9:00〜18:00) 個人情報漏洩が発覚したら、できるだけ早く弁護士に相談してください。初動対応の質が、その後の被害の大きさを左右します。 事後対応だけでなく「漏洩を防ぐ仕組み」が重要 個人情報漏洩は、起きてから対応するより、起きないようにする体制の構築が本質的な解決策です。 顧問弁護士がいれば、以下の予防策を整備できます。 個人情報管理規程の作成・見直し 従業員向け秘密保持誓約書の整備 BYOD(私物デバイス業務利用)ポリシーの策定 退職時のデバイス回収・ID無効化フローの確立 医療・採用・EC など個人情報を多く扱う業種では、特にこれらの体制整備が重要です。 まずはご相談ください → みんなの法務部サービスの詳細はこちら:/corporationlaw/service/ 電話:0120-929-739(受付 9:00〜18:00) 関連記事 SNS誹謗中傷の投稿者を特定する方法(発信者情報開示) IT・SES業界でよくある法律トラブルと弁護士が必要なタイミング 顧問弁護士の必要性 よくある質問 Q. 個人情報漏洩が起きた場合、個人情報保護委員会への報告は必ず必要ですか? A. すべての漏洩が報告義務の対象ではありません。要配慮個人情報・財産的被害のおそれがある漏洩・1,000件以上の漏洩などが対象です。まず弁護士に確認することをお勧めします。 Q. 謝罪文を出す前に注意すべきことはありますか? A. 謝罪文の文言は法的責任の範囲に影響します。「法的責任を認める」という表現は訴訟で不利になりえます。公開前に必ず弁護士に内容を確認してもらうことが重要です。 Q. 費用はどのくらいかかりますか? A. 事案の内容・複雑さによって異なります。みんなの法務部では初回相談無料でご案内しています。 監修:弁護士法人ブライト 大阪・神戸を拠点に企業法務・顧問弁護士サービスを提供。みんなの法務部として中小企業の法的リスク対応を日々サポートしています。 本記事は一般的な法律情報の提供を目的としており、特定の事案に対する法律アドバイスではありません。個別の対応については弁護士にご相談ください。 よくある質問 Q. 個人情報漏洩が起きたら、いつまでに対応すべきですか? A. 個人情報保護委員会への速報は3〜5日以内、確報は30日以内が目安です。初動対応の質がその後の被害の大きさを左右するため、発覚時点で直ちに弁護士にご相談いただくことをお勧めします。 Q. 従業員の誤送信による個人情報漏洩でも会社は責任を問われますか? A. はい。漏洩の原因がミス・システム脆弱性・不正アクセスなど問わず、自社が保有する個人情報が外部に出た場合、会社は管理責任を問われます。早期の事実確認と対応が重要です。 Q. 個人情報漏洩で損害賠償請求されたときの示談金はいくらですか? A. 漏洩情報の性質・件数・会社の故意過失・二次被害の有無など複数要因で変わるため、一律の金額はありません。事案ごとに異なるため、弁護士に具体的な事情をお聞かせください。
