日経BP ネットビジネスTODAY
ホーム > ネット法律相談所 無料メールサービスに登録 ニュースをRSSで購読 コラムをRSSで購読
ネットビジネスTODAY連載コラム
今日の新着記事
アップトゥデート
今日の最新ニュース
ニュースウォッチ
RSSフィード・パブ
気になる海外ニュース
フォトレポート
今,読み中!
インタビュー
事例
ネット法律相談所
ケーススタディ
ネットビジネス成功の方程式
マーケティング/ブランディング
入門「ブログマーケティング」
Webマーケティングの近未来
インターネットで顧客をつかむ
マーケットデータ
マネジメント
Webガバナンス
ネット社会の情報リスク
ライツマネジメントの現場から
テクノロジ
オープンソースウォッチ
セキュリティウォッチ
Presented by

Q.顧客情報が流出してしまった場合の対処法は?

取引先とは情報セキュリティ対策を盛り込んだ個人情報取扱契約を締結

個人情報の流出は、自社内部だけでなく、外部委託先等、その企業の情報開示先すべてにおいて発生する可能性があります。委託先から情報漏洩が生じた場合、委託元の企業が第一次的に各個人に対して損害賠償義務を負うことになるため、企業にとっては、自己の情報セキュリティ対策に加え、取引先とどのような情報セキュリティ対策を設けた個人情報取扱契約を締結するかというのが大きな問題となります。

個人情報のセキュリティに関しては、ISMS(情報セキュリティマネジメントシステム)やPマーク(プライバシーマーク)などの基準が設けられていますが、単純にこれらを取得した会社と契約を締結すればいいというものではありません。

ISMSを取得した直後の会社が、メールマガジン配信業務において、宛先をbccで送付すべきところをccで送ってしまうという単純なヒューマンエラーで個人情報を流出してしまったケースもあります。企業としては、単純にISMSやPマークを信頼すればいいというものではなく、取引先への監督体制、個人情報漏洩の際の連絡体制等、具体的な運用を踏まえて検討する必要があります。

契約書作成の視点としては、「個人情報の流出防止のための安全管理措置」と「実際に個人情報が流出した場合の対策」、の2つのポイントから考える必要があります。

個人情報の開示元は、開示先においても十分な安全管理措置が採られるよう契約書に明示し、流出事故が発生したときの責任分担、初期対応等を定めることが望ましいでしょう。

また、情報処理委託を受ける側としては、実際の運用が不可能な重い安全管理義務や、情報流出の際に不当に重い損害賠償責任を負わされないように注意する必要があります。

その他、個人情報の第三者開示についての要件を満たすか、適法に取得された情報の開示を受けているのか等も問題となりますが、特に気をつけるべき点としては、現実の情報の利用態様と契約書の食い違いはないかという点です。

法規・ガイドラインの遵守を前提にしつつも、個人情報利用の実態とマッチしない契約は、現実には機能しません。例えば、秘密保持と取引先の監査について厳格に定めた契約を締結しても、実際にそれが運用されていなければ、いざ情報流出が生じた場合、委託者としては、なすべき防衛策を行っていなかったと評価されることになるからです。

契約書に盛り込むべきポイントとは

では、具体的に契約書に盛り込むべきポイントについて考えてみましょう。

この点、個人情報保護法についての経済産業省ガイドライン(22条関連参照)は、

(1)委託者及び受託者の責任の明確化、
(2)個人データの安全管理に関する事項(個人データの漏洩防止、盗用禁止に関する事項、委託契約範囲外の加工、利用の禁止、委託契約範囲外の複写、複製の禁止、委託処理期間、委託処理後のデータの返還・消去・廃棄に関する事項)
(3)再委託に関する事項(再委託を行うにあたっての委託者の文書による報告、個人データの取扱状況に関する委託者への報告の内容及び頻度、契約内容が遵守されなかった場合の措置、セキュリティ事件・事故が発生した場合の報告・連絡に関する事項)

について契約書への記載が望まれるとします。

上記の点は、いずれも個人情報取扱契約書の重要ポイントですが、ここでは、特に、現実に情報流出が起きた場合の対策についてあらかじめいかなる事項を定めておくべきか、という観点から、情報漏洩後の対策(上記の委託者及び受託者の責任の明確化等)について定めた契約書の条文を検討してみましょう。


ⅰ)情報漏洩の報告、初期対応
第○条 受託者は、情報の漏洩または改竄が行われたことを発見した場合、またはそのおそれがある場合には、直ちに(1時間以内に)委託者の担当者に報告するものとする。
2.受託者は、委託者の担当者の指示に従い、情報流出防止及び損害の拡大防止のため適切な措置を取るものとする。

まず、早期の発見、インターネット接続の遮断等の適切な流出防止措置を可能にするために、情報漏洩発見後の速やかな報告と、その後受託者が適切な対応をとること、及び委託者の指示に従うことを定めておけば、委託者の方でもタイムリーな初期対応を行うことができます。そして、委託者・受託者の連携により、情報漏洩元、漏洩経路、漏洩先を特定していくことになります。


ⅱ)漏洩時の損害賠償
第○条 受託者、その役職員、その再委託先、その役職員、再委託先の開示先及びその役職員等、本契約に基づき委託者から受託者に開示された個人情報を取得した者(以下、総称して「受託者等」という。)が、個人情報の漏洩、違法な開示、その他本契約に反する利用を行った場合には、受託者は、これにより委託者または第三者に生じた一切の損害を賠償するものとする。

2.前項の損害には、社告・公告費用、慰謝料、印刷・郵送費、訴訟費用、弁護士費用、情報主体に対する合理的な範囲内でのお詫び料を含む。

委託先から情報漏洩が生じた場合、委託元の会社が第一次的に各個人に対して損害賠償義務を負うことになります。その損害としては、個人情報を開示されたことに基づく慰謝料、弁護士費用等が考えられます。上記の宇治市情報漏洩事件では、個人情報1件につき、慰謝料1万円、弁護士費用5000円の損害を認めました。

ネットや新聞などでお詫びの社告を速やかに掲載する

ただし、実際に情報漏洩が発生した場合には、早期にお詫びと報告の社告をインターネット上や日刊新聞紙上に掲載する等の対応を行うことが望ましいですが、これらの費用は必ずしも損害に含まれるとは限りません。そこで、社告費用も委託先へ請求できるよう明示しておけば、費用面の心配なく速やかな対策をとることができます。

また、情報が流出した各個人に対しては、それぞれに対するお詫び料の支払等の和解交渉を行う必要があります。しかし、いまだ個人情報流出による慰謝料に関する判例の集積が少ない現状では、損害額は必ずしも明確ではありません。

もっとも、裁判手続による前に、迅速な顧客対応を行う必要があるため、委託先と1件当たりの損害賠償額について合意できなくても、お詫び料の支払を始める必要があります。そこで、お詫び料については、合理的な範囲であれば損害に含まれる旨あらかじめ明示しておけば、費用面の心配なく速やかな対策をとることができます。

最近では、個人情報保護流出に対する保険の整備が進んでいます。委託先に資力がなく、損害賠償責任を果たしても委託先に求償できなくなる事態を避けるため、個人情報の開示側としては、非開示側に対し、保険への加入と付保証明書の提出を求めるというのも、損害賠償を確実にする手段として有効といえます。

石井 健 弁護士
1992年 智弁学園和歌山高等学校卒業
1999年 東京大学法学部卒業
2001年 司法試験合格
2003年 司法修習修了・東京弁護士会登録
2003年 新東京法律事務所にアソシエイトとして参加
新東京法律事務所所属。
バックナンバー
Net Business Solutions

ネットビジネスTODAYをご愛読いただき誠にありがとうございます。当サイトは2006年4月からはnikkeibp.jpのビジネススタイル面http://nikkeibp.jp/style/biz/)に統合させていただくことになりました。4月以降も継続する連載コラムは、ビジネススタイル面でお読みいただけますので、引き続きよろしくお願いいたします。

このサイトについて
「日経BP ネットビジネスTODAY」へようこそ! 本サイトは、毎日更新のオリジナル記事に加え、nikkeibp.jpIT Proからの厳選情報を満載してお送りします。ぜひ、毎日チェックして、ネットビジネスの「今」をつかむためにお役立てください。
nikkeibp.jp/IT Proロゴ
無料メールサービス
本サイトの無料メール会員にご登録いただくと、購読者様に向けた最新情報が満載のメールニュース(HTML)をお届けします。今すぐご登録を!
無料メールサービスに登録
RSS配信サービス
本サイトは、RSS配信をご購読いただくことにより、お手元で常に最新の更新情報を入手可能です。ぜひご利用ください。
RSSを購読
ホーム > ネット法律相談所 無料メールサービスに登録 ニュースをRSSで購読 コラムをRSSで購読