Column

はじめに｜個人情報漏えいは「大企業の問題」ではない

「うちのような小さな会社で個人情報漏えいなんて起きるわけがない」——そう思っている経営者の方は少なくないかもしれません。しかし現実は異なります。中小企業における個人情報漏えい事故は年々増加しており、その原因は大企業のような高度なサイバー攻撃だけではありません。従業員による誤送信、USBメモリの紛失、退職者によるデータ持ち出し、取引先からの問い合わせ対応ミス——こうした「日常業務の延長」で起きるインシデントが大半を占めています。

そして2022年4月に施行された改正個人情報保護法により、一定の漏えい事故については個人情報保護委員会への報告と本人への通知が法律上の義務となりました。違反した場合には行政指導・命令、さらには刑事罰の対象になり得ます。問題が起きてから「どうすれば良かったのか」を調べていては手遅れになります。本記事では、漏えいが発覚した瞬間から取るべき行動を、経営者・管理職の方が実務で使えるレベルで解説します。

改正個人情報保護法で義務化された「漏えい等報告・通知制度」とは

2022年4月の個人情報保護法改正（令和2年改正）以前は、個人情報漏えいが起きても法律上の報告・通知義務は定められていませんでした。しかし現在は、一定の要件を満たす漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知の両方が義務となっています（個人情報保護法第26条）。

義務の対象となる「漏えい等」は、単純な情報流出だけでなく、「漏えい」「滅失」「毀損」の3種類を含みます。それぞれ以下のように理解してください。

• 漏えい：個人データが外部に流出した状態（メール誤送信、不正アクセス、書類の紛失など）
• 滅失：個人データが失われた状態（データの誤削除、サーバー障害によるデータ消失など）
• 毀損：個人データの内容が改ざんされるなど、保有すべき状態でなくなった状態

すべての漏えい等が報告義務の対象となるわけではなく、一定の類型に該当する場合のみ義務が生じます。この「一定の類型」を次の章で詳しく見ていきます。

個人情報保護委員会への報告義務｜対象となるケースと期限

個人情報保護委員会への報告が必要となるのは、以下の4つの類型のいずれかに該当する漏えい等です。

• 要配慮個人情報が含まれる漏えい等（病歴、障害、犯罪歴、健康診断結果など）
• 財産的被害が生じるおそれのある漏えい等（クレジットカード番号＋セキュリティコード、銀行口座情報＋暗証番号など）
• 不正の目的による漏えい等のおそれがある場合（不正アクセス、内部不正など）
• 1,000人を超える個人データの漏えい等

これらのいずれかに該当する場合、企業（個人情報取扱事業者）は2段階の報告を行う必要があります。

【速報】：漏えい等を知った後、「速やかに」（概ね3〜5日以内の目安）、その時点で把握している情報を個人情報保護委員会に報告します。

【確報】：漏えい等を知った日から30日以内（不正の目的が疑われる場合は60日以内）に、詳細な調査結果を踏まえた最終報告を行います。

報告は個人情報保護委員会のウェブサイト上の「漏えい等報告フォーム」から電子的に行うことができます。なお、委託先（外部の業者など）が漏えい等を起こした場合でも、委託元の企業が報告義務を負う点に注意が必要です。ただし、委託先が報告を行う場合は委託元が報告した扱いとする「共同での報告」が認められています。

本人への通知義務｜何を、いつ、どのように伝えるべきか

個人情報保護委員会への報告と並行して、漏えい等の対象となった本人への通知も義務となっています。通知の時期は「速やかに」とされており、これも概ね漏えい確認後3〜5日以内が目安となります。

通知に含めるべき情報は以下の通りです。

• 漏えい等が発生した（またはそのおそれがある）旨
• 漏えい等に係る個人データの項目（氏名、住所、クレジット情報など具体的に）
• 原因
• 二次被害またはそのおそれの有無と内容
• 問い合わせ窓口
• その他参考となる事項

本人への通知の方法については法律上の制限はなく、メール、郵送、電話、ウェブサイトでの告知などいずれも可能です。ただし、メールアドレスが不明な場合や連絡手段がない場合など、本人への通知が困難な場合は、代替措置として自社ウェブサイト等での公表を行うことで義務を果たすことができます。

一方、通知を行うことで「二次被害」が生じるおそれがある場合や、捜査機関から通知を控えるよう求められている場合などは、通知義務の例外として認められることもあります。ただし、この判断は慎重に行う必要があり、弁護士に相談することを強くお勧めします。

漏えい発覚時の初動対応チェックリスト｜最初の72時間が勝負

個人情報漏えいが発覚した直後は混乱しがちですが、初動の72時間が対応の成否を決めると言っても過言ではありません。以下のチェックリストを参考に、迅速かつ正確に対応してください。

発覚直後（数時間以内）

• 事実の把握と封じ込め：何が、いつ、どこで、どれだけ漏えいしたのかを把握し、被害拡大を止める（アクセス遮断、システム停止など）
• 経営者・責任者への即時報告：担当者だけで抱え込まず、経営トップに速報する
• 証拠の保全：ログ、メール、アクセス記録などを保存し、削除・上書きを防止する
• 外部専門家への連絡：弁護士、ITセキュリティ専門家（必要に応じてフォレンジック調査会社）への相談を開始する

24〜72時間以内

• 内部調査チームの設置：担当者任せにせず、経営者を含む対応チームを編成する
• 個人情報保護委員会への速報提出：義務対象の漏えいであれば、報告フォームから速報を送信する
• 関係省庁・業界団体への報告確認：金融、医療、通信などの規制業種は別途報告義務がある場合があるため確認する
• 影響を受けた本人への通知準備：通知文書を作成し、送付方法を決定する

1週間以内

• 本人への通知実施：上記の通知内容を漏れなく記載した文書を送付する
• プレスリリース・ウェブ掲載の検討：社会的影響が大きい場合や、本人への通知が困難な場合は公表も検討する
• 再発防止策の立案：原因の特定と具体的な対策の策定を開始する

これらの対応は、「やったかやっていないか」だけでなく、「いつ、何をしたか」の記録も非常に重要です。個人情報保護委員会への確報や、万が一の訴訟・行政調査に備えて、対応の日時・内容を必ず文書化しておきましょう。

違反した場合のペナルティと企業ブランドへの影響

報告・通知義務を怠った場合や虚偽の報告を行った場合には、以下のような法的リスクが生じます。

行政上のリスク

個人情報保護委員会から指導・勧告・命令を受ける可能性があります。命令に違反した場合は、1年以下の懲役または100万円以下の罰金（法人の場合は1億円以下の罰金）が科される可能性があります。

民事上のリスク

漏えいによって損害を被った個人（顧客、従業員など）から損害賠償請求を受ける可能性があります。1件あたりの賠償額は数千円〜数万円程度のことが多いですが、被害者が多数に上れば総額は膨大になります。また、精神的損害（慰謝料）を認めた裁判例も増えています。

信用・ブランドへのリスク

法的なペナルティと同様に、あるいはそれ以上に深刻なのが企業信用・ブランドへのダメージです。取引先からの信用失墜、顧客の離脱、採用への悪影響——一度失った信頼を取り戻すには多大なコストと時間がかかります。特に漏えい後の対応が迅速かつ誠実であったかどうかが、社会的評価に大きく影響することを忘れないでください。

まとめ｜事前の備えが企業と顧客を守る

個人情報漏えいへの対応で最も重要なのは、「起きてから考える」ではなく「起きる前に準備する」という姿勢です。以下の3点を今すぐ確認・整備してください。

• インシデント対応マニュアルの整備：漏えい発覚時に誰が何をするかを事前に決めておく
• 個人情報の棚卸しと管理体制の見直し：どこに何の個人情報があるかを把握し、アクセス権限や保管期限を適切に設定する
• 従業員教育の定期実施：誤送信・紛失などヒューマンエラーによる漏えいは教育で防げる

もし「自社の対応が適切かどうか不安」「実際に漏えいが起きてしまい何をすべきかわからない」という状況であれば、まずは企業法務を専門とする弁護士に相談することを強くお勧めします。初動対応を誤ると被害が拡大するだけでなく、法的リスクも高まります。早期の相談が、企業と顧客を守る最善の手段です。

LeONE法律事務所では、個人情報保護法対応を含む企業法務全般についてご相談を承っております。お気軽にお問い合わせください。