Column

個人情報漏えい事故は「中小企業だから大丈夫」では済まない時代

「うちは小さな会社だから、ハッカーに狙われることはないだろう」——そう考えている経営者の方は少なくありません。しかし現実は正反対です。セキュリティ対策が手薄な中小企業こそ、サイバー攻撃の格好のターゲットになっています。

独立行政法人情報処理推進機構（IPA）の調査によれば、標的型攻撃メールの被害は大企業だけでなく、サプライチェーンの一端を担う中小企業にも多数報告されています。また、USBメモリの紛失や従業員による誤送信など、内部起因の情報漏えいは規模を問わず発生しています。

2022年4月に施行された改正個人情報保護法では、一定の個人情報漏えい事故について個人情報保護委員会への報告と本人への通知が義務化されました。違反した場合は法人に最大1億円、個人（役員等）に最大100万円の罰金が科される可能性があります。もはや「知らなかった」では済まされない時代です。

本記事では、企業法務を専門とする弁護士の立場から、個人情報漏えい事故が発生した際の初動対応、報告義務の内容、法的リスク、そして予防策を実務的に解説します。

まず押さえるべき基本：個人情報保護法が中小企業に課す義務

個人情報保護法は、個人情報を取り扱うすべての事業者に適用されます。以前は「5,000件以下の個人情報しか持たない事業者」は適用除外でしたが、2017年の法改正でこの規定は廃止されました。つまり、顧客名簿を1件でも持っていれば、法律上の「個人情報取扱事業者」として義務を負います。

主な義務として以下が挙げられます：

• 利用目的の特定と通知・公表：個人情報をどのような目的で使うかを明確にし、プライバシーポリシー等で公表する
• 安全管理措置：組織的・人的・技術的な安全対策を講じる
• 第三者提供の制限：本人の同意なしに個人情報を第三者に提供してはならない
• 保有個人データの開示・訂正・削除への対応：本人からの請求に応じて適切に対応する

これらの義務に違反した場合、個人情報保護委員会からの指導・勧告・命令を受ける可能性があり、命令違反には罰則が設けられています。まず自社がこれらの基本義務を果たしているか、定期的に点検することが重要です。

漏えい事故が発生！72時間以内にすべき初動対応

個人情報の漏えいが判明した瞬間から、経営者はタイムプレッシャーの中で行動しなければなりません。改正法では「漏えい等を知った日から速やかに（概ね3〜5日以内）」に個人情報保護委員会への速報を行い、「30日以内（不正アクセス等の場合は60日以内）」に確報を提出することが義務付けられています。

事故発覚直後にとるべき初動対応を時系列で整理します。

1. 事実確認と被害範囲の特定

「何が・いつ・どのように・どの程度漏えいしたか」を速やかに確認します。漏えいした情報の件数、内容（氏名・住所・クレジットカード番号など）、原因（サイバー攻撃・内部不正・誤送信など）を記録してください。この段階で証拠を保全しておくことが後の法的対応でも重要になります。ログデータ・メール履歴・システム記録はそのまま保存し、上書き・削除しないよう関係者に徹底してください。

2. 被害拡大の防止

原因が特定できたら、即座に拡大防止措置をとります。不正アクセスであればシステムをネットワークから切り離す、誤送信であれば受信者に削除を依頼するなど、状況に応じた対応が必要です。ただし、闇雲にシステムをシャットダウンすると業務に深刻な支障が出ることもあるため、ITの専門家と連携しながら判断することをお勧めします。

3. 経営幹部への報告と対応体制の整備

事故を現場担当者だけで抱え込まず、速やかに経営層へ報告し、対応チームを組成してください。弁護士・IT専門家・広報担当者を含めた危機対応チームを素早く立ち上げることが、その後の対応の質を左右します。特に弁護士は、報告義務の有無・内容・タイミングについて的確なアドバイスを提供できます。

4. 記録の保存と経緯の文書化

対応の経緯をすべて記録・保存してください。「いつ誰が何を知り、どのような判断をしたか」の記録は、後に行政対応や訴訟になった際に、誠実に対応したという証拠になります。

個人情報保護委員会への報告と本人通知——義務の範囲と手順

すべての漏えいが報告義務の対象となるわけではありません。改正法が義務とする「報告対象事態」には以下の4類型があります：

• 要配慮個人情報（病歴・障害・犯罪歴等）の漏えい
• 不正利用されることで財産的被害が生じるおそれがある漏えい（クレジットカード番号・口座番号など）
• 不正アクセス等による漏えい
• 1,000件を超える個人情報の漏えい

いずれかに該当する場合は、速報（概ね3〜5日以内）と確報（30日または60日以内）の2段階で個人情報保護委員会に報告する義務があります。速報の段階では「判明している範囲での情報」で足り、詳細不明な点は確報で補完できます。

また、本人への通知も原則として義務となります。通知内容は「漏えいした個人情報の項目」「原因」「二次被害防止のための措置」などです。ただし、本人への通知が「困難な場合」であって、本人の権利利益を保護するために必要な措置をとっているときは、代替措置（Webサイトでの公表など）が認められています。

報告・通知の遅延や虚偽報告は、勧告・命令・罰則の対象となるため、速報性と正確性のバランスを取りながら対応することが肝要です。この点は弁護士と連携して進めることを強くお勧めします。

漏えい後の法的リスク——会社と経営者が直面する責任

個人情報の漏えい事故が発生した場合、企業が直面する法的リスクは複数あります。経営者として正確に認識しておく必要があります。

行政上のリスク

個人情報保護委員会による指導・勧告・命令があります。命令に違反した場合、法人には1億円以下、個人（行為者）には100万円以下の罰金が科されます（個人情報保護法第178条等）。また、委員会への虚偽報告は50万円以下の罰金となります。行政処分を受けた場合は企業名が公表されるため、レピュテーション（社会的信用）への影響は計り知れません。

民事上のリスク

漏えいによって損害を受けた本人（顧客・従業員等）から損害賠償請求を受ける可能性があります。情報漏えいの規模によっては集団訴訟に発展することもあります。過去の判例では、1件あたり数千円〜数万円の賠償が認められたケースがあり、件数が多ければ総額が数千万円規模になることもあります。また、漏えいした情報が悪用されてフィッシング詐欺等の被害が生じた場合、より高額の賠償が認められる可能性もあります。

風評・信用上のリスク

法的制裁と同じかそれ以上に経営を揺るがすのが、メディア報道やSNSによる信用失墜です。一度失った信頼の回復には、長期間と多大なコストが必要になります。特にBtoC事業者にとって、この風評リスクは深刻です。対外的なコミュニケーション（プレスリリース・お詫び文）も弁護士と連携して慎重に行うことが重要です。

漏えい事故を未然に防ぐための実務的チェックリスト

最善の対応は、事故を起こさないことです。以下のチェックリストで、自社の現状を点検してください。

【組織・ルール面】

• 個人情報取扱規程を整備し、定期的に見直しているか
• 個人情報保護責任者（CPO）または担当者を明確に定めているか
• 従業員への定期的な個人情報保護研修を実施しているか
• 退職者のアカウント・アクセス権を速やかに削除しているか
• 個人情報の取扱いについて従業員と秘密保持契約を結んでいるか

【技術・物理面】

• パスワード管理が適切か（使い回し禁止・多要素認証の導入）
• 不要になった個人情報データを適切に削除・廃棄しているか
• USBメモリ・外部記録媒体の持ち出しルールを設けているか
• クラウドサービスのアクセス権限・公開設定を定期確認しているか
• セキュリティソフトを最新の状態に保っているか

【契約・委託先管理面】

• 個人情報の取扱いを委託する場合、委託先との間で個人情報保護に関する条項を含む契約を締結しているか
• 委託先の安全管理措置を定期的に確認しているか
• プライバシーポリシーの内容が実態と一致しているか

これらの措置は、事故防止だけでなく、万が一事故が発生した際の「誠実に対応していた」という証拠にもなります。行政や裁判所の判断において、事前の安全管理体制の有無は責任の重さに影響します。

まとめ：弁護士に相談すべきタイミングと対応の心構え

個人情報漏えい事故は、発覚からの対応スピードと正確さが、その後の法的・社会的ダメージの大きさを左右します。以下のタイミングで弁護士への相談を検討してください。

• 漏えいの疑いが生じた段階（報告義務があるかどうかの判断を含む）
• 個人情報保護委員会への報告前（内容の確認・精査）
• 被害者（本人）からクレームや損害賠償請求が来た段階
• 報道やSNSで情報漏えいが拡散し始めた段階（危機広報対応を含む）

「まだ大丈夫だろう」という判断で初動を遅らせることが、最も大きなリスクです。「事故かもしれない」と思った時点で、速やかに専門家に相談することが、会社と経営者を守る最大の手段です。

LeONE法律事務所では、個人情報漏えい事故への緊急対応から再発防止体制の構築まで、中小企業経営者の皆様の法的リスクを総合的にサポートしています。個人情報管理に不安を感じている方は、ぜひお気軽にご相談ください。