コラム
個人情報漏洩とは?個人情報漏洩の事例や企業が行うべき対応・対策
企業の個人情報漏洩はニュースなどでも報じられることも多いため、企業のリスク管理担当者のなかには、現在の情報の取扱いや管理に不安を感じているという方も少なくないでしょう。現代では個人情報の管理はデジタル化が進み、便利な反面、外部へ個人情報が漏洩してしまう危険性はどのような企業にも存在しています。企業のリスク管理として、セキュリティの強化、個人情報漏洩対策は必要不可欠なのです。ここでは、個人情報漏洩に関するリスクや具体的な事例、企業としてどのような対策を行うべきかについて詳しく解説します。
個人情報漏洩とは?
個人情報漏洩とは、第三者の故意や過失により、本人の同意なしに個人情報が他者の手に渡ってしまうことを意味する言葉です。「個人情報」とは個人情報保護法に定義された氏名や生年月日、マイナンバーや免許証番号などの個人の特定につながる情報のことを言います。
特に企業のパソコンなどから個人情報漏洩が生じた場合、顧客などの個人や取引先などに不利益が生じるだけでなく、企業全体の信用が失われ、大きなダメージが生じてしまいます。
個人情報漏洩の原因としては、個人情報を保存しているパソコンなどの媒体の紛失や盗難、誤操作による漏洩、そして不正アクセスやウイルスなどによる漏洩が考えられます。紛失や盗難などのハード面のセキュリティはもちろんですが、特にしっかりとしたセキュリティが必要になるのが誤操作や不正アクセス、ウイルス攻撃などへの対策です。
メールの誤送信やネット上で個人情報を誤って公開してしまった場合、さらにインターネットを介した犯罪などに晒されてしまう場合などは、日頃のセキュリティの強化が重要になります。
個人情報漏洩の罰則や損害賠償
企業などの事業者が個人情報を漏洩してしまった場合、個人情報保護法で定められる罰則には次のとおりです。
- 最大6か月の懲役
- 最大30万円の罰金
個人情報漏洩が発覚した際、まずは国から是正勧告と改善命令が出されます。これに違反した場合、最大6ヶ月の懲役または最大30万円の罰金といったような罰則が科されます。こちらの罰則は個人情報を漏洩してしまった社員などの個人に適用されるもので、その社員を雇用している会社に対しても最大30万円の罰金が適用されるとされています。
さらに、個人情報保護法に反し、個人情報を漏洩してしまった場合には、懲役や罰金といった罰則に加え、損害賠償責任も発生します。
また、例えば、顧客のクレジットカード情報が流出してしまい、他人に不正利用されてしまった場合など、個人情報漏洩によって実際に個人に被害が発生してしまった場合は、被害者に対して損害賠償を追うことになります。この場合も、個人情報を漏洩してしまった社員だけでなくその社員を雇用している会社にも使用者責任があるとされ、被害者に対して損害賠償責任を負う義務があるとされているのです。
個人情報漏洩の事例
個人情報漏洩の基礎がわかったら、次は具体的な個人情報漏洩の事例を確認していきましょう。こちらの事例は、国内で実際に生じた個人情報漏洩事件の事例です。他人ごととは思わずに、自社に当てはめて今後の対策の参考にしましょう。
国内で生じた3つの個人情報漏洩事例
- 2019年2月、社会福祉法人がビデオカメラ・外付けHDDの紛失を公表しました。このHDD他には、同法人が運営している病院の患者情報3,605件が保存されていました。紛失されたHDDとビデオカメラは盗難された可能性もあるとされ、早急なシステム上の処置と対策が求められています。
- 2010年7月、コールセンター運営企業で契約社員が業務端末から個人情報を不正に取得し、顧客10名以上の氏名やクレジットカード番号、有効期限、セキュリティコードなどの情報を利用して約860万円もの額を使用した罪で逮捕されました。
クレジットカードの不正利用を監視する業務に就いていた契約社員が犯行に及んだとして、会社側には管理監督・モニタリングの強化が求められる事例とされています。
- 2014年4月、自動車用品メーカーでのメールマガジン配信において、会員のメールアドレスが宛先に露出した状態で大量に配信されるというトラブルが発生しました。
こちらの原因はメール配信システムの障害が原因とされ、システムの再構築や点検強化が求められました。
これらはそれぞれ社内スタッフによる故意の持ち出しや人的ミス、システム障害といったことが原因で生じたものです。被害の影響は大きく、その後の企業には早急な対策が求められます。
コンピュータ関連機器の廃棄処分にも個人情報漏洩の危険性が?
人的ミスや犯罪、システム障害などに並び、個人情報漏洩の大きな原因となりうるのがコンピュータ関連機器の廃棄処分です。データ消去が不完全な場合、個人情報漏洩のリスクがあります。
2014年3月、鹿児島県の労働組合の組合員ら約500人分の個人情報が漏洩する事件が発生しました。この事件の原因となったのが、組合が所有していた古いパソコンが処分される際に、データが消去されずに別の業者に引き渡されてしまったことです。
社内でのデータ管理はもちろん、IT関連機器を廃棄処分する際の個人情報漏洩にも十分注意する必要があります。廃棄処分の前には、必ずデータ消去を徹底するようにしましょう。
個人情報漏洩を未然に防ぐ企業の対応・対策とは
個人情報漏洩の防止するためには企業独自の取り組みが必要です。個人情報漏洩を防ぐために、企業はどのような対策が求められているのでしょうか。
セキュリティポリシーを内部にしっかりと明示する
故意の持ち出しや内部犯による個人情報の悪用などを予防するためには、企業としてしっかりとした個人情報漏洩への取り組みを行う必要があります。
まずはセキュリティポリシーを社内全体に共有するようにしましょう。セキュリティポリシーや実施要領を徹底するための教育を、社員に向けて定期的に行うことも重要です。自分自身が個人情報漏洩の加害者となってしまう可能性もあるということを忘れないよう、社員全体に共有しましょう。
Webサイトやシステムの脆弱性対策
システム障害による個人情報漏洩を予防するためには、企業が使用しているシステムや企業が運営しているWebサイトの脆弱性を随時発見し、対策しておく必要があります。
特に気をつけておきたいのが、プログラムの仕組みが外部にも公開されているオープンソースのCMSなどです。それを介してサイバー犯罪の対象となってしまう可能性もあるため、システム障害対策としてもサイバー犯罪対策としても、システムの脆弱性対策は重要になります。
セキュリティ事故発生時の対応手順を確認しておく
事前の対策と同様に、実際にセキュリティ関係の事故が発生した場合の対応手順を確認しておくことも重要です。企業としての適切な対応や緊急時の連絡先、組織の体制などについて、日頃から確認しておくようにしましょう。
パソコンやサーバー、ハードディスクのデータ消去はアクシスコンピューテックへ
企業にとって甚大な被害が生じうる個人情報漏洩。日頃からセキュリティ管理を徹底するなど対策を行う必要があります。また、パソコンなどもディスクを暗号化したりしておくことで、盗難や紛失などに遭ってもデータの流出を防ぐことができます。さらに、パソコンやサーバーを廃棄処分する際にもデータ消去をしっかりと行う必要があります。
企業のパソコンやサーバー、ハードディスクなどの処分・データ消去はアクシスコンピューテックへ是非ご相談ください。アクシスコンピューテックではデータ消去、処分だけでなくそのまま買取も可能です。分離発注ではない一括発注によるワンストップでの作業ですので、無駄な作業やコストを大幅に削減することができます。個人情報漏洩対策もワンストップで可能なコンピュータ関連機器の廃棄処分・買取対応なら、アクシスコンピューテックをぜひご利用ください。
