個人情報を紛失した際の対応とは？具体的な手順について解説

「顧客情報が入った会社のパソコンをどこかに忘れてきてしまった」 
「入館用ICカードを紛失してしまった」 
「SNSで顧客の情報をつぶやいてしまった」 

これはニュースなどでも、よく聞く話題ではないでしょうか。 

情報漏洩などの情報セキュリティ被害が起こってしまった会社では、信頼と取引先を失う原因となり、セキュリティ担当者はそれ相応の処分が下されるでしょう。 

当然、その最悪な事態は避けなければなりません。 

「情報漏洩を避けたい」 
「情報セキュリティ対策を行い、対策を社内で浸透させたい」 

この記事では、個人情報を紛失した際の対応と具体的な手順について解説いたします。 ぜひ参考にしてみてください。 

また、ISMS認証取得済み企業のご担当者様必見。2022年ISO27001規格改訂の変更点と対応するべき内容をまとめた資料を無料で配布しています。ぜひご一読ください。

個人情報の定義とは 

まず、そもそも「個人情報」とはどんな情報をさすのかおさらいしてみましょう。 

法律には「個人情報保護法第二条」には以下のような記載があります。

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
二　個人識別符号が含まれるもの

個人情報の保護に関する法律より

「個人情報」とは、”生存する”個人に関する情報で、その情報に含まれる氏名や生年月日などによって特定の個人を識別できる情報を指します。 

氏名や生年月日以外にも、 

などの情報も個人情報に該当します。 

もっと意外なところでは、本人と特定できる映像と音声、履歴書などに記載された情報も個人情報に分類されるので、イメージよりも範囲が広いのがわかります。 

当然ですが、顧客情報も個人情報となります。 

特にクレジットカードや銀行口座と紐づいていた場合、重大な問題です。 

また、個人情報保護法第2条第5項において、「個人情報データベースなどを事業の用に供している者」を「個人情報取扱事業者」と定義しています。

上記だけを見ると「お客様の個人情報を取り扱う企業」が対象に思えますが、自社の従業員情報も含まれるので、実際にはほとんどの企業が該当します。

個人情報を紛失した場合はどのように対応すればよいのか

個人情報を紛失した、またはその恐れがある場合、以下のような対応が必要となります。

この言葉を聞くと、ちょっと難しく感じてしまいそうですね。 
1つずつ噛み砕いて解説します。​ 

事業者内部における報告及び被害の拡大防止

まず、直属の上司など責任ある立場の者に直ちに報告しましょう。 

気まずいですし、怒られるのが嫌だという気持ちはわかりますが、そこで隠ぺいしようと報告をしないのはNGです。 対策をしない限り、被害は広がり続けます。 

一刻も早く迅速な報告をし、被害の拡大を防ぐために「サービスの停止」などの措置を取りましょう。

事実関係の調査及び原因の究明

次に、事実関係の調査をして、原因の究明を行いましょう。 
調査と聞くと、どんな事をすればいいかの漠然としていますよね。 

具体的には、

以上のように、1つずつ整理するとわかりやすいでしょう。 

特に、どこで紛失したかという情報が分かると、誰かに悪用される前に捜索することができる可能性もあります。 報告の際には、正確に情報を伝えましょう。 

個人情報を紛失してしまったケースは主に以下のようなものがあげられます。 

紛失・盗難 

紙の書類、PC、業務用スマホ、USBメモリ、もしくはそれらが入った鞄をどこかに置き忘れてしまうケースです。 

また、事務所に置いてあったパソコンが盗難にあった場合も同様に情報の紛失扱いとなります。

誤送信

メールを一斉送信する場合、本来BCCで送信すべきところをTOやCCで送信してしまい、メールアドレスが見えるようになってしまったケースです。 

本来行ってはならない設定、もしくが誤操作による情報が流出の原因なので再発防止策を早急に練る必要があります。

内部犯行

内部の人物が情報を持ち出し、外部の第三者に流してしまうケースです。 

同業他社や悪意ある人物の手に情報が渡ってしまう可能性が高く、また、内部の人物であるがゆえにより重要な情報を盗み出しやすいため、重大な問題へ発展しやすいケースといえます。

不正プログラム

悪意あるプログラムにより、ウイルス感染したパソコン内部のデータが流出してしまうケースです。 

個人情報を収集することを目的としたスパイウェアなどによるものが多く、主に迷惑メールなどに添付されていたり、Webサイトを閲覧した時に感染してしまうリスクがあります。

不正アクセス

アクセス制限を設けているコンピュータに、本来アクセスできないネットワーク外部から不正に侵入されてしまい情報を盗まれるケースです。 

映画などでハッカーと言われる人物が機密事項にアクセスを試みる様子はこの不正アクセスに分類されます。

匿名掲示板/SNS等

5chなどに代表される匿名掲示板や、TwitterなどのSNSに顧客の情報を書き込んでしまったケースです。 

住所などの個人情報はもちろんのこと、引っ越し業者が「芸能人の〇〇の引っ越しを担当した！綺麗だった！」というように、住所はわからなくても「引っ越した」という事実を知られた時点で問題となります。 

あくまで業務で知りえた情報は口外してはいけないのが大原則です。

事実関係の調査及び原因の究明

続いて、漏えい等事案の事実関係の調査及び原因の究明をします。 

例えば、書類の紛失なら「誰かが持ち出して無くしたのか」「誰かが盗んだのか」など様々なパターンが考えられます。 
原因が分からなければ、対策もしようがありませんので明確にしましょう。 

この原因を究明する際に、自己保身のために虚偽の報告をしてしまうと、正しい対策を取ることができません。 仮に自身が悪いのであれば、正直に原因を説明しましょう。

影響範囲の特定

事実関係の調査及び原因の究明で把握した事実関係による影響の範囲を特定します。 

例えば、メールアドレスの流出のみのケースと、銀行口座やクレジットカードの番号とパスワードが流出しているケースでは、影響する範囲が異なります。 

特に金銭に関わる犯罪に悪用されるリスクがある場合は、影響範囲が大きくなります。

再発防止策の検討及び実施

上記までの事実関係の調査及び原因の究明の結果を踏まえ、漏えい等事案の再発防止策を検討し実施しましょう。 

メール誤送信が原因ならダブルチェックをするように業務の流れを変更。 

鞄を紛失した理由が「居酒屋に持ち歩いてしまい、酔った勢いで忘れてしまった」という場合は、仕事終了後、いくら面倒でも「仕事の鞄を自宅に置いてから居酒屋に行く」というルールを作成。 

などのように、再発しないためのルール作りをしましょう。 

また、不正アクセスや盗難などといったヒューマンエラーではないケースなら「セキュリティ対策ソフトを導入する」「監視カメラを付ける」などといった対策を実施しましょう。

影響を受ける可能性のある本人への連絡（事案に応じて）

個人情報の紛失、漏えい内容に応じて、二次被害が起こりうる場合、速やかに本人へ連絡、もしくは本人に伝わる形で情報を公開する必要があります。 

クレジットカードの番号が外部に漏れた場合「履歴に怪しいものが無いか確認する」「クレジットカードの利用を停止する」「既に請求が来ているものについての対応を説明する」などの連絡を行いましょう。 

この本人への連絡が送れてしまうと、会社の信用を大きく損なう危険が高いです。 ミスをしてしまった時こそ、真摯な対応を心がけましょう。

事実関係及び再発防止策等の公表（事案に応じて）

前述した本人への連絡以外にも、同じことが二度と起きないようにどのような対策をするのか公表しましょう。 

再発防止のため、そしてこの企業は今後どのような対応をして行くのかという信頼を取り戻すための意思表明の意味もあります。 

なお、別途、業法等で監督当局への報告が義務付けられている場合もあるため、注意が必要です。

個人情報を紛失した場合は報告対応も忘れずに

個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、速やかに報告する必要があります。 

報告のフローは以下の通りです。

具体的な報告手順

個人情報保護委員会への報告については、「漏えい等の報告」ページにある各報告フォームから報告します。 

記載については、以下のページを見て入力しましょう。

重大な影響が生じる可能性がある場合、公表（予定を含む）事案等の急を要する報告は、事前に下記の事業者連絡用の電話番号に連絡しましょう。 

電話番号：03-6457-9685（事業者連絡用）　個人データ漏えい等報告窓口 宛 

マイナンバーの漏えいが発生した場合は、この専用ページより報告しましょう。 

また、原則として認定個人情報保護団体の対象事業者である個人情報取扱事業者は、認定個人情報保護団体に報告。個人情報保護委員会の権限が事業所管大臣に委任されている分野における個人情報取扱事業者は、委任先省庁等に報告しましょう。 

​※認定個人情報保護団体の対象事業者又は個人情報保護委員会の権限が事業所管大臣に委任されている分野における個人情報取扱事業者については、報告先が個人情報保護委員会ではない場合もあります。

まとめ

個人情報の紛失対応について紹介しました。 

被害を受けた方への対応の他に、報告対応もしなくてはならないということを理解していなかった人もいるのではないでしょうか。 

情報の紛失や漏洩は、起こらなければそれに越したことはありません。 ですが、万が一の際にまずい対応をしてしまうと、企業のイメージに大きな傷を付けてしまうことになります。 

そんな事態を避けるためにも、​ 

この対応を、迅速かつ正確に行えるように事前準備を怠らないようにしておきましょう。