こんにちは。弁護士の浅見隆行です。
2023年5月19日に、エーザイが不正アクセスによる個人情報漏えいの可能性があることを公表しました。
公表内容を見ると、
- グループの海外法人の社員のアカウントを不正に使用した外部者が、クラウドプラットフォーム上の一部の情報に不正アクセスした
- 情報にはエーザイとそのグループ会社の取引先関係者の個人情報(氏名とメールアドレス)が含まれる可能性がある
- 通信販売等を利用する消費者の個人情報は含まれていない
- 漏えいした可能性のある個人には、メールアドレス宛に謝罪を送付した
ことがわかります。
ところで、個人情報保護法と同施行規則(個人情報保護委員会規則)は、不正アクセスによって個人情報が漏えいしたおそれがあるときには個人情報保護委員会への報告と本人への通知を義務づけています。
しかし、ウエブサイトで公表することは義務づけてはいません。
公表するか否かは危機管理の問題です。漏えいした可能性がある個人が限定的で、個別に連絡がつく場合には必ずしも公表することを要しないと思います。
その理由を説明します。
個人情報保護法と同施行規則(個人情報保護委員会規則)の建付
まず個人情報保護法と同施行規則(個人情報保護委員会規則)は、不正アクセスによる個人情報の漏えいの可能性が確認された後の対応について、以下のように定めています。
- 不正アクセスにより個人データが漏えいまたはその可能性があるときには、個人情報保護委員会への報告と本人への通知が義務
- 個人情報保護委員会に報告する内容は、①概要、②個人データの項目、③数、④原因、⑤二次被害の可能性の有無・内容、⑥本人への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項
- 本人に通知する内容は、①概要、②個人データの項目、④原因、⑤二次被害の可能性の有無・内容、⑨その他参考となる事項
なお、個人情報保護委員会への報告は、こちらのフォーム(書式)を利用します。
会社が個人情報の漏えいの可能性を確認できたとしても、ウエブサイト等で公表することまでは義務づけられていません。
「公表の実施状況」を個人情報保護委員会に報告するだけで、公表するかどうかは会社の裁量に委ねられています。要は、公表するかどうかは、会社の危機管理ということです。
ただし、「公表しない」「公表する予定がない」場合には、簡単な理由を添えて報告できたほうが良いと思います。
ウエブサイト等での公表の要否は危機管理の観点からの判断基準
では、危機管理の視点から公表の要否をどう判断したらいいでしょうか?
詳しくは危機管理「広報」という話しになりますが、個人情報の漏えいの可能性に限定すると、次の3つの要素で判断すれば良いと思います(※個人情報と個人データの用語をあえて分けずに説明します)。
私は個人情報保護法ができる前から、個人情報保護法ができた後も、さらには改正された後も、20年近くずっとこの要素をもとに判断しています。
- 個人情報漏えい案件の規模
- 漏えいした個人情報の重大性
- 会社が置かれている立場
この3要素について、それぞれ説明します。
個人情報漏えい案件の規模
漏えい案件の規模というのは、わかりやすく言えば漏えいした可能性のある個人情報の数です。
大量に漏えいした可能性があれば、被害を受ける可能性がある個人情報の持ち主が多いということです。
これは、仮に漏えいした可能性があるという事実がニュースになったときに、「自分の個人情報が漏えいしたのではないか」と不安になる人や「なんで知らせてくれなかったんだ」と怒りの感情をぶつけてくる可能性がある人が世の中に多くいるということです。
危機管理の視点からは、なるべく早く事態を沈静化したい、不安になっている世の中の人たちや怒りの感情をぶつけてくる可能性がある人を減らしたいはずです。
そこで、世の中の人たちに「あなたの個人情報は漏えいした可能性があります。漏えいした情報はこれとこれです」「あなたの個人情報は漏えいしていません」といち早く知らせることによって、無用な不安を抱えた人や怒りの感情をぶつけてくる可能性がある人を減らすのです。
そのため、どんな個人情報が漏えいしたのかという内容・質(例えば、氏名が漏えいしただけの場合と、氏名のほかにクレジットカード番号や金融機関の口座番号、暗証番号まで漏えいした場合とは内容・質が違います)に関わらず、数が多いというだけで、危機管理の観点からは公表した方がよいという判断に傾きます。
逆に言えば、漏えいした可能性がある個人情報の数が少ない場合や一部の関係者に限られるなど限定的な場合で、本人に個別に連絡がつく場合にはあえて公表する必要がありません。
なお、個人情報保護法・同施行規則(個人情報保護委員会規則)では、1000件以上の個人情報(個人データ)の漏えい可能性がある場合に個人情報保護委員会に報告することを義務づけています。
危機管理では何件という絶対的な基準はありませんが、この1000件という数字は多いか少ないかの一つの目安になります。
漏えいした個人情報の重大性
漏えいした個人情報の数が少なければ公表しなくていいかというと、そうではありません。
漏えいした個人情報の内容が単に氏名だけである場合と、氏名に加えてクレジットカード番号や金融機関の口座番号、暗証番号まで漏えいした場合とは、情報漏えいの重大性が違います。
情報漏えいが重大であればあるほど、情報の持ち主である本人は不安を抱きます。また、会社の個人情報の管理に対する信頼・信用の低下を招きます。このときに公表しない(そしてその後にその事実がバレる)と、「なんでこんな重大事なのに隠していたんだ」と、更なる信頼・信用の低下を招くからです。
そのため、重大な情報漏えいの場合には、情報漏えいについてお詫びし、かつ、本人たちの不安の解消、信頼・信用の回復のためにも、いち早く事実を公表することが必要です。
なお、個人情報保護法と同施行規則(個人情報保護委員会規則)でも、要配慮個人情報、財産的被害が発生するおそれがある個人情報、不正アクセスによる漏えいした可能性がある場合は1件でも、個人情報保護委員会への報告と本人への通知が義務づけられています。
危機管理では、これが重大な情報漏えいであるという絶対的な基準はありませんが、個人情報保護法と同施行規則(個人情報保護委員会規則)が公表義務の対象としているこれらは参考にできると思います。
会社が置かれている立場
漏えいした可能性がある個人情報の数が少なく、かつ、個人情報の内容もそれほど重大ではない場合、基本的には公表しないという判断に傾きます。
ただし、その会社が取引先・消費者であるお客さま、社会・世の中の人たちから求められている立場によっては、それでも公表しなければならないことがあります。
例えば、クラウドサービスを提供している会社では、情報漏えいの可能性があるというだけで、その会社が提供しているサービスの信頼性が問題になります。
この場合、情報漏えいの可能性がサービスの質や情報管理の体制に問題があったけれども既に対応が完了している、従業員個人の情報管理レベルに問題があっただけで情報管理の体制には問題がないなどをあえて公表することで、会社が提供するサービスへの信頼を維持することができます。
企業の社会的責任(CSR)の観点から公表の是非を判断すると言い換えても良いでしょう。
まとめ
個人情報の漏えいの可能性があるときに、個人情報保護法と同施行規則(個人情報保護委員会規則)だけを判断基準にして対応するのではなく、危機管理という別の視点ももって対応して欲しいと思います。
個人情報保護法と同施行規則(個人情報保護委員会規則)では個人情報保護委員会への報告や本人への報告が義務づけられていないからといって、公表しない判断が許されるわけではありません。
その逆も然りです。
情報漏えいによって炎上するか否かは、法律に基づいていたかどうかではなく、社会や世の中の人たちの感情に左右されるという原点を忘れずにいてください。
