漏えいした個人情報の内容を確認する

個人情報が漏えいした場合には、まず、漏えいした個人情報の内容を確認してください。
個人情報の内容としては、氏名、電話番号、住所、生年月日、年齢・・・などがありますが、どの情報が漏えいしたのかを確認することが重要です。

漏えいした個人情報の数・範囲を特定する

その次に、漏えいした個人情報の出所を特定してください。これによって、漏えいした個人情報の数と範囲を特定することができます。

たとえば、営業担当者が持ち歩いていたノートパソコンを紛失して、そのノートパソコンに顧客のデータベースが含まれていたというケースにおいては、そのデータベースに記録されていた顧客が誰なのかをできる限り特定するということです。
データベースの内容が再現できれば、漏えいした個人情報の数と範囲を特定することができます。
データベースの内容を再現できない場合でも、どの程度の顧客情報が記録されていたかがわかれば、漏えいした個人情報の数と範囲がどの程度まで拡大するか可能性がわかります。

漏えいした個人情報の回収可能性・拡大可能性の確認

さらに、漏えいした個人情報の回収可能性・拡大可能性があるかを判断してください。

たとえば、Winnyなどファイル交換ソフトを通じてインターネット上に個人情報が漏えいしてしまったような場合には、個人情報の回収はほぼ不可能で、漏えいの拡大を防ぐことも事実上無理です。
それに対して、紙媒体やノートパソコンを通じて個人情報が漏えいしてしまったような場合には、紙媒体やノートパソコンの回収により個人情報の漏えいが拡大することが防止できます。
ノートパソコンが回収できないとしても、ノートパソコンに厳しいセキュリティがかけられているような場合には、そのノートパソコンを入手した人がノートパソコンの中を見て、個人情報にたどり着くことは困難です。
これらの作業を通じて、漏えいした個人情報に含まれている情報の重大性、個人情報の数と範囲の拡大可能性(限定可能性)、個人情報の回収可能性がわかれば、次に行うアクションも考えやすくなります。

個人情報が漏えいしたことの公表の要否

漏えいした個人情報が特定でき、かつ、重大な情報ではない場合

漏えいした個人情報の数と範囲が「100件」などと具体的に特定でき、かつ漏えいした個人情報に含まれている情報が氏名や生年月日だけの重大性・緊急性を伴う情報ではない場合には、会社は、漏えいした個人情報の持ち主である当該個人に対して謝罪と事実経過の説明を行うだけで対応としては十分です。

この場合には、どこの誰のどんな個人情報が漏えいしたかが判明している以上、どこの誰それ個人に対して謝罪をすれば問題は解消するからです。

漏えいした個人情報が特定できない、あるいは漏えいした個人情報が重大・緊急である場合

他方、漏えいした個人情報の数と範囲が「最大で2万件になりそうだが特定・限定することができない」といった場合、漏えいした個人情報に含まれている情報が「個人の金融情報やセンシティブな情報である」など重大または緊急性を伴う情報である場合、漏えいした個人情報の回収可能性が低く、漏えいの拡大可能性がある場合には、会社は、プレスリリースやHPで告知するなどの対応を迫られます。
場合によっては、記者会見なども行う必要がでてきます。

この場合には、漏えいした個人情報の持ち主が特定できない以上、社会全体の消費者・顧客に対して、「あなたの個人情報が漏えいした可能性があります」と知らしめる必要があるからです。
また、漏えいした個人情報が重大・緊急な情報の場合には、社会全体の消費者・顧客に対して、「こんな重大な情報が漏れているので、該当する可能性のある人は至急対応をとってほしい」と伝える必要もあります。

ただし、漏えいした個人情報の持ち主が特定できない場合でも、会社として、「この範囲の顧客には該当可能性があるが、この範囲の顧客には該当可能性がない」などと、漏えいした個人情報の持ち主の範囲をある程度限定でき、会社からその持ち主に対して直接連絡がとれるような場合には、社会全体に対して知らしめる必要はないので、記者会見、プレスリリース、社告が必要ない場合もあります。