メールでの
個人情報が漏洩すると、企業のイメージダウンは大きく、社会的に非難されるだけでなく、商品の買い控えなどが起こり、企業の収益に影響を与えます。企業が保有している個人情報は顧客や取引先のものですから、これらのステークホルダーとの信頼関係を損なわないようにすることを第一義に考えましょう。
個人情報漏洩を探知する方法として、社内で監視することが重要ですが、それとは別に、社外、すなわち顧客や取引先からのクレームが挙げられます。例えば、顧客から「知らない業者からダイレクトメールが届いた」との電話が入った場合、クレームを受けた時点で、個人情報漏洩が確定しているわけではないとしても個人情報漏洩を指摘されたのであれば、顧客との「信頼」を基礎にクレーム対応をする必要があります。
企業としては、顧客の話を疑って何もしないのではなく、クレームを真摯に受け止め、顧客からヒアリングした方がよいです。聴取する事項としては、個人情報が漏洩したと疑う根拠(ダイレクトメールなど)、自社の保有する個人情報が漏洩したと考える根拠(他社と異なる個人情報の登録など)、ダイレクトメール等を送ってきた業者名や連絡先、漏洩したと考えられる個人情報の範囲(氏名、住所、生年月日、預金口座、クレジットカード番号など)等が考えられます。
クレームの精度や件数によっては、この内容をもとに社内調査を早期に開始し、物証の保全、現場検証、従業者や同僚からの事情聴取などにより、漏洩の原因を突き止めることになります。セキュリティホールを早急に発見してこれを塞ぎ、個人情報漏洩の拡大を防ぐことが喫緊の課題です。早期に調査を実施する
初動調査のスピードと正確さが、その後の対応にも関わってきます。調査が遅れると、個人情報漏洩が拡大して顧客の被害も拡大しますし、企業の対応が後手に回り、隠蔽工作をしているなどの疑いを掛けられる可能性があります。また、漏洩の原因を見誤ると、顧客への通知や損害賠償の方針に誤りが生じ、紛争の発生や長期化を招くおそれもあります。初動調査の結果、個人情報漏洩の原因が突き止められなかったとしても、安易に調査を中止すべきではなく、また「原因不明」と結論づけるべきでもありません。
顧客からクレームが入ってきたときに担当者が冷静に対応できるよう、日ごろから体制を整備し、従業員教育をすることが肝要です。
また、▽要配慮個人情報が含まれる個人データ、▽不正に利用されることにより財産的被害が生じるおそれがある個人データ(クレジットカード番号、ID・パスワード等)、▽不正の目的をもって行われたおそれがある個人データ(不正アクセス、ランサムウェア、盗難等)、▽本人の数が1,000人を超える個人データが、漏洩・滅失・毀損またはそのおそれが発生した場合は、速やかに(3~5日以内が目安)、個人情報保護委員会に対し、個人データの項目や本人の数、原因、二次被害の有無・内容、本人への対応の実施状況、公表の実施状況および再発防止のための措置のうち報告時点において把握している事実を報告するとともに、本人に通知しなければなりません。なお、個人情報保護委員会に対しては、30日以内(不正アクセス等故意によるものの場合は60日以内)に確報を入れなければなりません。
