The following two tabs change content below.

• この記事を書いた人
• 最新の記事

保険の教科書 編集部

私たちは、お客様のお金の問題を解決し、将来の安心を確保する方法を追求する集団です。メンバーは公認会計士、税理士、MBA、CFP、相続診断士、住宅ローンアドバイザー、行政書士等の資格を持っており、いずれも現場を3年以上経験している者のみで運営しています。

最新記事 by 保険の教科書 編集部 (全て見る)

• 火災保険は自転車保険代わりになるか？補償内容と違い - 2024年11月15日
• 注文住宅の価格について｜予算の相場はどれくらいか - 2024年11月14日
• 法人設立費はどこまで経費化できるか？その範囲と限界 - 2024年11月13日

1. 個人情報漏えい事故はちょっとしたミスで起きる

個人情報の漏えいが起きる原因で第一に思いつくのは、「外部からの不正アクセス」でしょう。

しかし、日本ネットワークセキュリティ協会の「2015年 情報セキュリティインシデントに関する調査報告書」によると、外部からの不正アクセスは全体の8％しかありません。むしろ、置き忘れや誤操作、管理ミスなどの人為的ミスが75％近くを占めているのです。しかもこれは本当にちょっとしたミスであることが多いのです。実際の事例と一緒にご紹介します。

1.1. 要因1｜紛失・置き忘れ

まず、個人情報が記録された媒体の置き忘れや紛失です。たとえば、2016年に東京電力で約81万件の個人情報が記録されたUSBメモリーが紛失するという事故がありました。

USBや紙といった軽くて持ち運びできる媒体は特にリスクが大きいのです。上で紹介した「2015年情報セキュリティインシデントに関する調査報告書」のP.4をご覧いただくと、漏えい媒体・経路のうち紙媒体が51.4％、USB等持ち運び可能な記録媒体が12.0％を占めています。パソコンやスマートフォンであれば、もしも紛失したとしても遠隔ロックなどを活用すれば情報の流出を食い止めることができます。しかし、紙媒体、USBなどはそういうことができないため、「置き忘れ、紛失＝流出」となってしまうのです。

1.2.要因2｜誤操作

次に、メールやFAXの誤送信の事故です。

最近では、2016年5月のTBSの事例があります。これは、バラエティ特番の番組出演に応募した方のうち115名分の個人情報を、誤って社外のメールアドレスに送ってしまったものです。

こういう事故への対策として、電子メールやFAXを送る際に宛先を確認するのは当たり前です。ただし、個人情報が含まれる際は、それだけでは十分とはいえません。CCやBCCに上司や管理責任者を含め、個人情報は別ファイルで添付し、パスワードを設定する必要があります。

また、さらに安全性を高める方法として、パスワードを別のメールで後送するなどの工夫をすることをおすすめします。

1.3.要因3｜管理ミス

最後は管理ミスです。これは、個人情報管理に関するルールがあるにも関わらずそれが守られなかった結果、事故が発生するケースです。

たとえば、2014年に大和証券で、顧客の氏名・口座番号等が記載された書類5,132件を、保管期限前に手違いで廃棄してしまったという事故がありました。

こういった事故が特に多い業種は金融・保険業です。なぜなら、たくさんのお客様の情報を扱うため、どうしても取り扱う書類の量も多くなりがちだからです。

防ぐには、廃棄前の確認や廃棄日を記録に残すなど、細部に至るまでルール化する必要があります。

2. 高額な損害賠償義務を負うことも

個人情報漏えい事故を起こしてしまうと最悪の場合、「被害者の会」などが結成され集団訴訟が起こされることがあります。

これまでの裁判例を見ると、損害賠償金の金額や相場は、被害者の人数や二次被害の有無などによっては、非常に高額になってしまうことがあります。

高額事例として、2007年2月に決裁したTBCグループの裁判例があります。

エステサロンのチェーンを経営する会社で、顧客の個人情報を管理していたウェブサイトにアクセス制限をかけていませんでした。そのため顧客の個人情報を無関係な第三者が見られる状態になっており、ファイル交換サービスを通じて世界中にばらまかれてしまいました。

流出してしまった個人情報には、氏名・住所・電話番号・生年月日・職業だけでなく、スリーサイズやコース内容、身体の悩みまで含まれていました。そればかりでなく、いたずら電話や迷惑メール、DMが送付されるなどの二次被害が発生しました。そのため、会社は1件あたり慰謝料3万円と弁護士費用5,000円、総額231億円の損害賠償を命じられました。

このように、一度流出してしまうと巨額の賠償金の支払い義務を負う可能性があります。流出が起きないよう対策することが前提ですが、起きてしまった場合の備えも肝心です。

3. マイナンバー制度の導入でリスクは高くなっている

2016年1月からマイナンバー制度が導入されました。これまで、個人情報の管理義務は、5000件以上を扱う事業者のみが対象でしたが、マイナンバーは全ての企業、団体、個人事業主に管理義務が発生します。扱う情報量や企業規模の大小は問いません。

マイナンバーには、年金、健康保険、税金等、様々な個人情報が紐づいています。ですから、不正に扱われるリスクが非常に高いのです。しかも、マイナンバーは流出した場合の罰則が定められています。

したがって、あなたの会社も、事故を起こさないように管理体制を強化するのはもちろん、事故が起きてしまった場合に備えて保険に加入し、対策を万全にする必要があるのです。

これまで、多くの個人情報を扱う大企業がターゲットになっていました。ところが、マイナンバー制度が導入されると、狙いは対策が不十分な中小企業へとシフトされています。

4. 漏えいが起きてしまったら最初にすべきこと

個人情報の流出が発生した場合、迅速な対応をすることで被害を最小限に食い止めることができます。そのための対応策をご紹介していきます。

4.1. 肝心なのは早期の対応

まずは、流出があったことを速やかにお客様に伝える必要があります。お詫び状の作成・発送やHPへの掲示はもちろんのこと、問い合わせに対応できるよう臨時にコールセンターを開設する必要もあるかもしれません。弁護士も手配しなくてはなりませんし、原因究明のための調査費用なども必要になります。

4.2. 損害賠償もできるだけ早期に

これらは最低限必要なことですが、これらに加えて大切なのが、お詫びの気持ちを形として示すことです。よく行われるのが、見舞金や見舞品として金券を配布することです。

一人当たりの金額は500円～10,000円程度にすぎなくても、総額だと大変な額になります。

5. 万一の漏えい事故に備えるサイバーリスク保険

漏えい事故が起きてしまった場合に備えられるのが、「個人情報漏えい保険」「サイバーリスク保険」です。補償の範囲は以下の通りです。

損害賠償責任

損害賠償金の支払いが発生した場合に、その賠償金の額を保険金として受け取れます。

被害拡大防止費用

被害を最小限にとどめるために支出した費用等の額を受け取れるものです。お詫び状や見舞品の購入費用なども対象となります。

ネットワーク中断に関する費用

事故がなかったならば得られたはずの営業利益の額と、利益減少を防ぐために使った費用の額を受け取れます。

サイバーリスク保険に加入していれば、万が一事故が発生して損害賠償義務を負うことになったりしても、これらの費用は保険金を受け取れ、経済的ダメージを最小限に抑えることができるのです。

また、金銭面だけでない様々なサポートも受けられます。たとえば、コールセンターの設置や広報対応、被害拡大防止の措置や原因究明に至るまで、事故対応の様々なノウハウを教えてもらえます。被害を拡大させないための初期対応は非常に重要です。自力ではこれらを迅速に手配するのは困難ですので、このサポートはサイバーリスク保険の最大のメリットかもしれません。

まとめ

個人情報漏えいが発生すると、会社は大きなダメージを受けます。経済的なダメージに加え、風評でブランドイメージが悪化するので売上も減少します。なので、そうならないためにも、漏えい防止策を講じる必要があるのです。

ただし、漏えい防止策を尽くしても、漏えい事故を100％防ぎきることは難しいです。

そこで、万が一の漏えい事故に備えてサイバーリスク保険に加入しておくとより安心です。いざという時には事故対応にかかる様々な費用をカバーしてもらえます。また、そればかりでなく、対応についてのアドバイスや最新の漏えい対策に関する情報も教えてもらえるというメリットもあります。