【イベントレポート】
RSA Conference 2004 JAPAN

個人情報漏えいが発生したらどうすべきか?

岡田大助
アットマーク・アイティ編集局
2004/6/25

 個人情報の漏えい事件が後を絶たない。Webアプリケーションのセキュリティホールを突かれた不正アクセスや、内部者による情報の持ち出しなど方法はさまざまだ。Security&Trustフォーラムが独自に行ったWebアンケートでも、情報漏えい対策は、不正侵入対策やウイルス対策を抑えて最も興味のあるセキュリティ関連分野となった。

 また、すでに一部施行されている個人情報保護法も2005年4月から全面施行となる。2005年4月から施行される第4章では、個人情報取扱事業者の義務が定められており、企業や自治体における個人情報保護対策が急がれている。2004年6月15日には経済産業省が個人情報保護法の適用についてまとめたガイドラインを策定した。個人情報取扱事業者は具体的にどのような対応を行えばよいのだろうか?

 2004年6月1日に開催された「RSA Conference 2004」において、弁護士の岡村久道氏が「情報セキュリティ事故と法的責任の基礎知識」と題する講演を行った。岡村氏はこの講演において、情報漏えい事件における責任の所在と、不幸にして情報漏えい事故が発生してしまった場合の対応策を解説した。

 情報漏えい事件が発生した場合、
 企業が負う責任とは?

 情報漏えい事件が発生した場合、被害者は当然、個人情報を漏えいされた人物となる。一方、加害者はといえば、これは法的には漏えいを起こした人物となる。被害者は加害者に対してプライバシー権侵害による損害賠償請求が行える。また加害者には、捜査機関から不正アクセス禁止法などによる刑事告訴が行われる可能性が高い。

 漏えい元となった組織は、加害者に対して不正競争防止法に基づく差止請求や損害賠償請求、刑事告訴ができる。しかし同時に、被害者からプライバシー権侵害や契約違反による損害賠償請求で告訴される可能性が高い。さらに、個人情報保護法が全面施行されると主務大臣からの勧告や命令が出される。漏えい元となった組織は、個人情報保護法上の主務大臣に対する責任と、プライバシーの権利に基づく被害者に対する責任といった2種類の責任を負うことになる。

 わが国における個人情報保護の法的枠組みは、大きく2つに分けられる。1つは、判例法により確立されたプライバシーの権利で、漏えい元の企業や組織には罰則はないものの損害賠償責任が課せられる。もう1つは個人情報保護法で、主務大臣に対する報告を怠ったり、虚偽の報告を行ったりすると罰則が科せられる。ただし、個人情報保護法では顧客に対する民事責任は定められていない。個人情報保護法は、あくまでも個人情報の適切な取り扱いに関するルールを定めたものであり、権利利益に対する侵害発生を未然に防ぐことを目的としている。岡村氏は、「これら2つの制度は相互に密接な関連はあるものの、別個の独立した法制度だ」と説明する。

 個人情報漏えい事故が発生してしまったら?

 不幸にして情報漏えい事故が発生してしまったら、何をすべきだろうか? 岡村氏は、漏えい継続の阻止、漏えい事故の公表、苦情への対応、漏えいした情報の流通の阻止、漏えい者への対処、再発防止策の策定の6つを挙げる。

 まず、漏えい継続の阻止については、何よりも新たな被害の発生や拡大を防がなくてはならない。セキュリティホールなどの原因によって自社サーバ内の情報がインターネットを介して自由に閲覧可能になっている場合は、早急に個人データを該当サーバからインターネットに接続していないコンピュータへと移動させることが必須だ。速やかにこのような措置を取るためには、事前にだれがサーバの停止措置権限や責務を負うかを決定しておくことが重要だ。

 個人情報の管理を外部に委託している場合も考えられる。この場合は、委託先の誰にどのような方法で連絡を取るべきか、委託先の判断で送信停止措置を取る場合はどのような手順を踏むかなどを、委託先との間で事前に文書で合意しておくことが望ましい。また、委託先には、万が一情報の漏えいがあった場合に、委託元に対して通報することを義務付けておくべきだ。

 個人情報の漏えいの継続を阻止したら、次は情報を収集し、漏えい事故の公表を行うべきだ。これは、個人情報保護法第7条に基づいて、政府が基本方針を、「事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似案件の発生回避等の観点から、可能な限り事実関係等を公表することが重要である」としているからだ。

 漏えい事故の公表の第一歩として、個々の被害者のメールアドレスなど連絡方法を確認し、個別に謝罪と簡潔な事情説明を兼ねたメールや手紙を送信するのが一般的だ。また同時に、Webページの目立つところに謝罪と事情説明を兼ねた文書を掲示することも多い。最も重要な点として岡村氏は、「拙速に不正確な情報開示とならないように注意すべきだ」と指摘する。

 事情説明では、どのような個人データが、どのような規模で漏えいしたのかといった経緯を説明する。この際、原因が明らかになっている場合は公表すべきだ。情報を公開することで、被害者の不安を必要以上に増大させることを防げる。また事情説明は、クレジットカード番号が漏えいした場合などにおいては、被害者が二次被害を防止するための対策を自ら講じる必要があるため重要だ。

 被害者への個別の連絡やWeb上での情報公開では、苦情対策として専用ホットラインの案内を行うことも一般的だ。専用ホットラインは、基本的に通話料着信払いの電話番号を公開する。この場合、無用なトラブルを招かぬように開設時間を明記すべきだ。

 さて、一度漏えいしてしまった個人情報の流通を阻止するにはどうしたらいいだろうか? 宇治市住民基本台帳データ大量漏えい事件の場合、漏えいしたデータはインターネット上で転売されていた。この事件の控訴審判決では、「一度漏えいした情報は手の届かないところまで流通してしまうので、これをすべて取り戻すことは不可能に近い」という判断が下されている。

 個人情報保護法では、流通を阻止すべき具体的義務は定められていないが、流通した個人情報が被害者に新たな損害を発生させる可能性があるため、何らかの対処をすることが望ましい。そこで岡村氏は、プロバイダ責任制限法による対処を1つの例として挙げる。このほかにも、ACCSの情報漏えい事件では加害者が1年間掲示板などを監視することで和解している。しかしながら、現在のところ流通する個人情報に対する決定的な対処方法はなさそうだ。

 漏えい者に対する責任の追及

 漏えい者に対する責任の追及は、被害者に対する民事責任、漏えい元企業に対する民事責任、および刑事責任の3つの方法で行われる。被害者に対する民事責任は、プライバシー権侵害に基づく損害賠償請求だ。一方、漏えい元企業に対する民事責任は、不正競争防止法の営業秘密の保護に起因する。

 営業秘密とは、秘密性管理、有用性、および非公知性という3つの要素を満たす必要がある。また、具体的な認定要素として、パスワードなどによるデータへのアクセス・閲覧制限、データのコピー・出力などの規制、保管場所の施錠・入退室制限、就業規則などによる機密保持義務条項、社内教育・指導による周知徹底などの有無が総合的に判断される傾向にある。

 さらに漏えい者に対する刑事責任の追及は、主に不正アクセス禁止法や窃盗罪が適用される。媒体ごと持ち出した場合は窃盗罪、持ち込んだメディアなどにデータだけをコピーして持ち出した場合には2003年から不正競争防止法で刑罰の対象になった。

 岡村氏は、今日の状況を「法律と情報セキュリティの分野が接近してきている。しかしながら、情報セキュリティの3つの基本概念である機密性、完全性、可用性と法律の概念はまだまだ水と油の存在であり、今後の歩み寄りが必要だ」と分析する。個人情報漏えい事故に関する法的な流れとしては、集団訴訟化の流れが確実に始まっているという。2005年から全面施行される個人情報保護法への対応も重要だが、いざ情報漏えい事故を起こしてしまった場合の即応体制を準備しておくことも必要だろう。

関連リンク
  個人情報保護法(セキュリティ用語事典)
個人情報保護法がもたらすビジネスへの影響は (情報マネジメント)
  インターネットは個人情報の敵? (情報マネジメント)
職場における電子メールとプライバシー (情報マネジメント)
求められるオンラインでの個人情報保護対策 (NewsInsight)
「個人情報保護法」時代のセキュリティ対策 (NewsInsight)


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間
@IT