Q.顧客情報が流出してしまった場合の対処法は？

本年4月から個人情報保護法が施行され、個人情報のセキュリティについては、各社が努力を重ねているところですが、残念ながら、表面化しないものも含め、企業による個人情報流出は跡を絶たないのが現状です。個人情報流出といえば、6月に起きたアメリカにおける約4000万件ともされる大量のクレジットカード情報流出が耳に新しい事件です。

個人情報が漏洩した場合、各個人から不法行為に基づく損害賠償請求を受ける可能性があるため、漏洩した情報の数が多ければ多いほど損害額は膨大となるおそれがあります（宇治市個人情報漏洩事件・大阪高裁平成13年12月25日判決等）。仮に個人情報１件につき1万円の損害賠償義務が発生すると仮定した場合、10万件の情報流出に対しては10億円の損害賠償義務が生ずることとなり、企業の存亡に関わる重大な問題となるのです。

どこまでの防衛策なら不法行為責任が問われないかの判例はまだない

個人情報流出の発生原因としては、大きく分けて、内部者による情報漏洩のケースと、上記のようなネット上の外部攻撃によるケースに分かれます。

前者のケースは、内部者の不注意等による漏洩、内部者が名簿業者等に個人情報を販売するケース、個人情報が入った媒体外部に持ち出し置き忘れたりするなどのケースがあります。実際の情報漏洩は、約7割が前者のケースとのことです。

後者のケースは、インターネットから個人情報データベースに侵入が可能な設計になっているウェブサイトに対し、外部攻撃が行われ情報が漏洩、改竄されるケース、ウィルスにより情報がユーザーの意思に反して外部に発信されるといった例が典型的です。また、最近では、スパイウェア（定義は難しいのですが、一応、ユーザーの意に反して、ユーザーの知らないうちに、ユーザーの個人情報や、アクセス履歴等を収集したり、空きエリアで演算を行い、データを特定の場所に送付するアプリケーションとします）により、知らないうちにPC内の個人情報等が収集されているケースもみられます。

現在のところ、外部からの不正な攻撃・ウィルス等に対し、技術的にどこまでの防衛策を行えば、民事上の不法行為責任が問われないかについては、明確な基準を示した判例はまだ存在しないため、今後の判例の集積を待つ必要があります（ウィルス感染に基づく情報流出について、札幌地裁平成17年4月28日判決）。しかし、企業は、個人情報について、その時点で一般的に是認されている程度の必要かつ適切なセキュリティを講じておく必要があると思われます（個人情報保護法20条）。

ここでは、情報流出が実際に起こった場合の対策と、情報流出に備えた契約書の内容について論じることとします。

個人情報流出への対策とは

まず、個人情報が流出した場合の対策の要点としては、

（1）早期の発見、インターネット接続の遮断
（2）漏洩元、漏洩先、漏洩経路の特定
（3）流出先に対する掲示の差止、削除・消去依頼
（4）顧客に対する適切な対応
（5）社内管理体制の見直し

が挙げられます。既に既刊の書物等によって詳しく述べられているためここでは詳細に述べませんが、ネットにおける個人情報流出は、時間と伴に急速に拡大するため、迅速・適切な対応により、情報流出の拡大を防止し、顧客に対する情報の開示を行うことが肝要です。

具体的には、例えば個人情報が流出して特定のウェブサイトに掲示されてしまったようなケースでは、

（1）社内PCのインターネット接続を遮断し
（2）流出経路を特定するとともに、流出先を特定し、流出情報がBBS等で掲示されていないかどうかを確認する。
（3）IPアドレス、プロバイダー責任制限法による発信者情報開示請求（特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第4条）等により、流出情報を掲載するウェブサイト運営者を割り出し、情報掲載の差止、情報の削除及び消去を求め、
（4）流出情報の範囲とお詫びを記載した社告の掲載、お詫び料などによる和解交渉等を行い、
（5）情報管理規定、その運用の見直し、ハード、ソフトウェアの拡充、外部の監査機構の利用等、情報管理体制の抜本的な改善を行う

といった対応が考えられます。

next：取引先とは情報セキュリティ対策を盛り込んだ個人情報取扱契約を締結…