個人情報の漏えい事故なかなかなくなりませんね。紛失した、メールで誤送信した、車上荒らしにあった、様々な事故があります。
こういった個人情報の漏えい事故が発生した場合、お詫び文をWebサイトに掲載したり、謝罪の会見等を行ったりしているのをよく見かけます。
実際どこまでこういったことを行わなければならないのでしょうか。
企業の性格がでるものでもあるのですごく厳しい会社であれば、些細な事故でも全て公表することかと思います。
また、企業イメージを下げたくないなど様々な理由でどのような内容であったとしても公表しない企業もあるかもしれません。個人情報の漏えい事故を起こした場合に公表しないといけない法律は存在していませんので。。。。
ですが、全くもって公表等に関する指針がないわけではありません。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」には「二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わない」という記述があり、具体的に言うと以下のような記述があります。
・影響を受ける可能性のある本人すべてに連絡がついた場合
・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合(ただし、(オ)に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。)
・漏えい等をした事業者以外では、特定の個人を識別することができない場合
※個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインP29から一部抜粋
上記のような要件を満たしていれば、仮に個人情報が漏えいしてしまったとしても公表を行わなくてよいとされています。
ただ、上記要件を満たしている場合でも内容如何によっては公表すべき場合もあるでしょうから、最終的には企業およびその経営層が判断すべきことであると思います。
本人への謝罪・誠意を示すことはもちろんですが、企業にとって過度な負担にならないようすることが大事であると言えます。