インターネットサービス会社の多くは、大量の顧客における個人情報を所有・利用しています。
そのため、これらの情報が漏えいしたときのリスクは、他業種に比べて大きいと言えます。
今回は、インターネットサービス会社における個人情報漏えい時の正しい対応について解説したいと思います。
インターネットサービス会社が個人情報漏えい時に行うべきこと4選
インターネットサービス会社において個人情報が漏えいしたときには、以下のような対応を心掛けなければいけません。
・初動対応
・事実関係の確認、調査
・報告、謝罪
・恒久対応
初動対応
個人情報が漏えいしたら、まずは二次被害を防ぐための初動対応が必要になります。
つまり、被害を最小限に食い止めなければいけないということです。
具体的には、情報漏えい関する具体的な事実を確認したとき、発生状況を正確に把握し、責任者に報告した上で、速やかに伝達し、対応するための体制を取ります。
また、不正アクセスや不正プログラムなど、情報システムからの情報漏えいの可能性がある場合は、不用意な操作を行わず、サービスの停止や情報の隔離といった処置を行います。
事実関係の確認、調査
インターネットサービス会社は、初動対応を行った後、いつ、どこで、誰が、なぜ、どうしたのかという観点で、事実関係の確認および調査を行います。
こちらは、事実関係を裏付ける証拠を確保することが目的です。
事実関係が曖昧だと、必要な処置を必要な箇所に施すことができず、異常が発生している状態を長時間継続させてしまうおそれがあります。
そのため、こちらはスピーディーな対応が求められます。
報告、謝罪
個人情報が漏えいしたインターネットサービス会社は、原則として個人情報保護委員会等に対し、速やかに報告する努力義務があります。
また、個人情報漏えいによって直接的な被害を受ける可能性があるのは、漏えいしたデータで特定される本人(顧客、取引先など)です。
そのため、本人と連絡を取り、謝罪をすることも忘れてはいけません。
ちなみに、二次被害や同じような事案が発生することを防ぐために、外部に個人情報漏えいの事実を公表することが求められるケースもあります。
こちらの公表については、ホームページ上に文書を掲載したり、記者会見などメディアを通じて伝える場を設定したりすることで行います。
恒久対応
すべての対応を終えた後は、個人情報漏えいの経緯や原因を徹底追及した上で、再発防止策を検討・実施します。
発生した原因が人為的なミスなのであれば、同じミスが起こらないような業務フローに変更し、悪意のある第三者が盗み取った場合には、同じ方法でアクセスができないよう、セキュリティを再強化する必要があります。
個人情報漏えいにおける3つのリスク
インターネットサービス会社が個人情報を漏えいさせてしまうことには、以下のような3つのリスクがあります。
・情報の悪用
・金銭的な被害
・信頼の低下
また、これらのリスクにおける具体例は以下の通りです。
リスク 具体例
情報の悪用 ・機密情報をライバル会社に流用され、優位性を失う
・顧客のクレジットカードを不正利用される など
金銭的な被害 ・個人情報が漏えいした本人への損害賠償
・情報漏えいの経緯を公表し、謝罪するために要した原因の調査費用や広告費 など
信頼の低下 ・株価の低下
・サービスの停止
・顧客離れによる売上の低下 など
まとめ
ここまで、インターネットサービス会社における個人情報漏えい時の対応について解説しましたが、いかがでしたでしょうか?
個人情報漏えい時に正しく対応することは、個人情報を取り扱う企業として当然のことです。
また、そもそも情報漏えいを発生させないために、E-Pサーベイproで顧客の意見を採り入れるなどしながら、日頃の漏えい対策を徹底することも重要です。