事業のデジタル化が進む中、企業が扱う個人情報の量は飛躍的に増えています。
ビッグデータが企業活動を左右する重要な資料となる今日、この傾向はますます強まるでしょう。

その反面、個人情報の漏えい等の事件も後を絶ちません。個人情報保護法が改正を重ね、情報の取り扱いは厳しさを増し、企業の個人情報の取り扱いに対する意識も年々高まってきています。

2020年7月には、サイバー攻撃などの不正アクセスが原因の個人情報漏えいの場合には当局への報告に加え、被害者本人への通知も義務付けられることになりました。
実施は2022年春からですが、違反すると最高1億円の罰金を科し、悪質な場合は社名も公表するとされています。

個人情報の管理がずさんであれば、企業に重大な損害を及ぼすことも、更に現実味を帯びてきています。一度個人情報漏えいが発生すると、メディアを通じて事故情報が拡散され、企業イメージが修復不可能になるほどの風評被害をもたらす可能性すらあります。

自社の情報管理が十分なものであるか、最新の法規制に合致するものであるか、常に目を配ることが必要です。

情報漏えいが起こること自体は完全には避けきれません。問題は、これに対して適切な対応をとれるか否かです。
情報漏えい事件が発生した場合、初動が重要な鍵を握ります。
できるだけ速やかに情報を集め、漏えいが発生した原因と想定される被害の範囲、その被害に対する対処と、今後の再発防止策を策定し、可及的速やかにアナウンスする必要があります。

内容もわからずただ漏えいの事実を発表したのではかえって不安をあおりかねません。事故の概要の報告とともに、的確な対応を完了済みであること、被害が一定程度限定されたものと見られること等、社会にとっての安心材料もアピールする必要があります。

その意味で、アナウンスの時期も、非常にセンシティブな問題であり、専門家と十分協議する必要があります。逆に、適切な対応をとることで、企業に対する信用を回復するチャンスにもなりうるのです。

最低限の前提として、「個人情報」とは何かを理解しておきましょう。
個人情報とは生存する個人の情報をさすものであり、氏名や生年月日等により個人を特定できるものになります。単体の情報だけではなく、他の情報と照らし合わせて個人を識別できるものも、個人情報に定義されています。
※氏名のみであっても、社会通念上個人情報にあたります。

• 特定の個人を特定できる情報
• 単体では識別できなくとも、他の情報と照らし合わせて個人を特定できる情報

また、個人情報の定義を明確にするため、特定の個人を識別できる次のような文字・記号・番号・符号等についても、個人を特定できる情報として個人情報と定義されています。

生体情報

DNA / 顔写真 / 虹彩（瞳の色） / 声紋 / 歩行の態様 / 手指の静脈 / 指紋・掌紋等

個人番号

パスポート番号 / 基礎年金番号 / 免許証番号 / 住民票コード / マイナンバー / 各種保険等