企業が保有している重要情報には、特許や独自テクノロジーといった機密情報のほか、顧客の属性、取引履歴などの個人情報もあり、以前から、企業経営のリスクのひとつとして個人情報の漏洩が挙げられています。企業が顧客の個人情報を漏洩させてしまった場合、企業側に行政上の責任が課せられる可能性もあります。個人情報保護法が改正され原則すべての企業が適用対象となった今、個人情報流出の被害の現状や対策などについて、改めて確認してみましょう。

株式会社東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ～ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ～」（https://www.tsr-net.co.jp/data/detail/1197322_1527.html）によると、個人情報の漏洩・紛失事故を年別にみると、2022年の事故件数は、2012年の調査開始以降、最多の165件（前年比20.4%増）に達しました。また、社数も150社と、これまでの最多だった2021年（120社）を30社上回り、増加傾向にあります。

では、もし個人情報が流出してしまったら、どのような対策をとればよいのでしょうか？情報が漏洩した事実が確認できる場合はもちろん、漏洩の兆候や疑いを発見したら、速やかに責任者に報告することが大切です。責任者はすぐに対応します。迅速な対応を怠れば、被害が拡大してしまう危険が高まるからです。漏洩が外部からの不正アクセスや不正プログラムによって引き起こされた可能性がある場合、侵入の痕跡や操作ログを保存しておくことも重要になります。 まずは社内に対策本部を設置し、当面の対策方針を決定します。そのうえで、情報漏洩による被害の拡大、二次被害の防止のため、応急処置を行っていきます。たとえば、個人情報や機密情報をネットワークなどから隔離したり、ネットワークの遮断やサービスの停止を行ったりします。 同時に、なぜ情報が漏洩したのか、調査を開始します。いつ、どんなデータが、どれくらいの量、どうやって漏洩したのか、正確な情報を把握することが大切です。調査を進めながら、漏洩の事実を公表する必要もあります。漏洩した個人情報の本人や取引先だけでなく、監督官庁や警察にも報告・届け出をする必要があります。盗難や不正アクセス、内部関係者による犯行、あるいは脅迫などによる不正な金銭の要求といった犯罪性があるなら、速やかに警察に相談・通報しましょう。 公表を行えば、問い合わせが殺到する可能性もあるため、専用の窓口を設置するとよいでしょう。Webサイトなども活用しながら、逐次、状況の説明や対応策を説明・告知していきます。公表せずに解決しようとしたり、対応が遅かったりなど、適切な対策ができなければ、顧客の信頼や信用を損なってしまう可能性が高くなります。 原因の究明や調査が進んだら、情報管理体制の見直しや、セキュリティ製品の導入、マニュアルの再検証など、再発防止に向けた具体的な取り組みにも着手していきます。被害の全容が判明すれば、被害者に対する損害の補償などについても、検討をしていきます。

流出したときの迅速な対応も大事ですが、未然に防ぐことができるなら、それに越したことはありません。他社の事例は対岸の火事ではありません。対応を怠れば、どんな企業にも起こり得るのが、個人情報の流出です。個人情報の漏洩を防止するなら、まずはPCや機密情報の入ったUSBメモリーなどのデバイス、あるいは書類を社外に勝手に持ち出さないよう、日頃から社員のセキュリティ意識を高めたり、持ち出せない情報管理体制を作ったりしておくことが大切です。実は情報漏洩の原因として、紛失や置き忘れ、盗難が大きな割合を占めているからで、そのリスクを低減するためにも、機密情報を勝手に持ち出せない組織を作っておくことが必要となります。 また、社内にあるからといって、必ずしも情報が守られているわけではありません。社外の人や他部署の人が自由にアクセスできる場所に、PCや紙書類が無造作に保管されているケースや、テレワークなど社外で仕事をしている際にPCのスクリーンセーバーが設定されておらず、第三者にファイルを盗み見されてしまうケースも考えられます。こうした個人情報の扱いをしていないか、定期的に点検することも大切です。 個人情報の流出にかかわらず、トラブルを隠蔽してしまうような体質にならぬよう、オープンな組織作りを心がけることも、被害を拡大させないポイントです。コンプライアンスを重視する時代のため、隠蔽や対応の遅さが見られると、ブランド力や企業の評判を落とすことになってしまいます。 その他、セキュリティソフトを活用し、外部媒体の利用を制限したり、情報にアクセスできるユーザーや持ち出せるユーザーをあらかじめ制限したりといった対策を取っておくことも、個人情報を流出の予防になります。

ビジネスを行っている以上、個人情報を取り扱うことは避けて通れません。またそれら資産でもあり、有効に活用することがビジネスでは重要となってきます。したがって、個人情報を活用しながら、同時に常に流出のリスクがあると認識しておくことが大切です。いつ、どんな形で情報が流出してしまうか、わかりません。悪意ある内部関係者によって個人情報を意図的に流出される可能性もあります。個人情報を流出されたら、どうすべきなのか？個人情報を流出された被害者はどうなるのか？想像力を膨らませ、被害を大きくしない、もし起こってしまっても、最小限に食い止める、そんな努力を怠らないことが重要だと言えます。

Outlookのオートコンプリート機能が無効化されているか、スクリーンセーバーが設定されているかなど、PCやアプリケーションのセキュリティ設定の点検を自動で実施し、是正します。

スマートフォン、リムーバブルメディア、有線／無線LANの通信機能など、さまざまなデバイスの利用を制限します。

PCのハードディスクや、USBメモリーなどのメディア、ファイルサーバーを暗号化して、内部不正や盗難・紛失から守ります。