メールでの
初動調査の結果、個人情報の漏洩が確定しているわけではなく、可能性が否定できないというレベルであっても、要配慮個人情報の漏洩、不正アクセス等による漏洩、財産的被害のおそれがある漏洩、1,000件を超える大規模な漏洩については、顧客に個人情報が漏洩した個人データの項目、原因、二次被害の有無・内容等を本人の権利利益を保護するために必要な範囲において通知することが義務づけられています。特に預金口座やクレジットカード番号などの情報は顧客の関心が高いので、判明した事実を書面に記載します。たとえ可能性でもそのまま伝えるのがよいですが、書面には事実と可能性を分けて記載しましょう。
通知の対象は、個人情報が漏洩して権利利益が害されるおそれがある顧客の全てです。そうすると、通知の対象者が多数に上り、多数の顧客に通知をしたら社会的にも非難を浴びるかもしれません。しかし、顧客が架空請求などの被害に遭う可能性があるので、顧客との信頼関係を維持するためには、通知を躊躇すべきではなく、むしろ被害防止の注意喚起をすべきです。
初動調査の結果、個人情報の漏洩の原因が自社にあるならば当然ですが、仮に外部からの不正アクセスなど必ずしも自社に責任があるとまではいえない場合であっても、早めに事実を知らせて被害の拡大を防ぎつつ、不安を抱かせていること、迷惑を掛けていることについて陳謝するのが肝要です。
通知の件数が多数となるときは、自社への問い合わせが多くなるので、専用電話番号を設けて相談窓口を一本化し、これを公表することが望ましいです。相談対応マニュアルを作成するだけでなく、教育を受けた相談担当者を配置し、相談してきた顧客には事実を正確に伝えるなど誠意をもって対応すべきです。説明に不備があると、顧客の不安が昂じ、信頼関係が損なわれます。企業の対応に関する二次クレームが発生することを防がなければなりません。
また、顧客からは、保有個人データの利用停止、消去または第三者提供停止の請求がなされます。請求が来た段階で本人確認をする際には言葉遣い等に注意すべきです。担当者レベルで即答できないのであれば、速やかに上司や関係部署の判断を仰ぎ、早期に顧客に回答します。
