自社に関係する事業分野でのガイドラインを参考に
個人情報については、個人情報保護法ガイドラインのほか、事業分野ごとにガイドラインが作成されており、対応についてもその中で記載されている場合が多いです。
自社に関係する事業分野でのガイドラインでどう定められているか確認し、情報が載っているドキュメント管理や問題発生の際の対応ルールを決めましょう。
日頃からの訓練・対策が大切
それでも外部からの攻撃による漏えいなどを完全に防ぐことは難しいです。どれだけ会社の方で情報管理を徹底しても、サイバーテロのような情報漏洩の手口が高度になっていることを考えると、情報漏洩の完全に防ぐことは難しいです。そのため、情報漏洩が起こったときに迅速に対応できるようにしておくことが重要です。
漏洩時に迅速な初動対応がとれるよう日頃からの訓練・対策が大切です。スムーズな対応が出来るよう、連絡体制や対応マニュアルを準備しておきましょう。日頃から、情報漏洩が起きた場合を想定して、社内での対処手順(部門同士での情報共有、対策チーム結成、初動対応の手順など)の確認や、実際に社内のシステムが攻撃してみて侵入できないことの安全性確認をする、といったことが考えられます。
また、対策としては情報漏洩の疑いがあったときに確実・迅速に確認できるようにすること・情報漏洩が起きたと思えるときに、それにより生じる損失を最小限に抑えるとともに、原因究明などに必要になる証拠類を保全できるような対応がとれるようにしておくこと・損害回復と将来的な再発を防ぐための徹底した責任追及を行うこと、が重要な点になってきます。
どんな場合に情報漏洩の疑いがあるといえるか、そのときの対応については別のコラムにて取り扱っていますので、そちらをご参照下さい。
情報漏えいにより生じる損失を最小限に抑えるためには
情報はすぐに拡散してしまうので、出来るだけ早い対応が必要です。また、コンピュータウィルスによる感染の場合は、表面的に発覚したウィルス被害への対応に留まらず、より深くにさらにダメージが大きくなるウィルスが仕込まれていることもありますので、技術的な面で対応可能な専門家に相談・対応を依頼することが必要になることもあります。
それ以外に被害拡大を防ぐための方策としては、サイバー攻撃による情報漏洩の場合は、情報端末のネットワークを遮断する、漏洩したと思われる者に対して警告書を出す(ただし、漏洩させた者が分かることが当然の前提になります)、自社ホームページなどに漏洩した情報が開示された場合、その情報をインターネットから削除するように要請する、といったことが考えられます。
主務大臣への報告については上記事業分野ごとのガイドラインに詳細が記載されていることもあります。個人情報の場合には、個人情報保護法に基づく、業種ごとの主務官庁への報告などが必要になってきます。
特に個人情報の漏洩の場合には、被害を被ると思われる人が分かれば、個別に連絡・謝罪を行うことになります。被害者が不特定多数の場合には、今後被害拡大の可能性が高いのであれば先に公表することが必要なこともあります。事実関係等の公表については影響が大きくなる可能性もあり、慎重な対応を要する場合もあります。
証拠保全にあたって気をつけるべき点は?
不正アクセス行為の禁止等に関する法律違反や不正競争防止法違反など刑事事件が考えられる場合には、証拠隠滅などを防ぐため、警察に事実公表をいつすればよいか、タイミングや公表内容について早めに相談をした方が良いこともあります。
その場合には会社概要、どういった営業秘密等が侵害されたか分かる資料、漏えいしたことが疑われる従業員等に関する資料、出退社状況が分かるタイムカードなどを持参した上で、さらにどういった資料をどのように確保すればよいかを相談すると良いでしょう。捜査が開始されれば、社内の実況見分や関係者の事情聴取などについて警察と連携して行うことになります。
また民事の責任追及をするにあたっては営業秘密の侵害が疑われるときに営業秘密の開示、使用の仮差止め、競合する他社への就職の仮差止めといった方法もあります。こういった手続を取るにあたっても営業秘密の侵害などを裏付ける証拠などの確保が必要になります。社内ネットワークへのアクセスログ、監視カメラの記録保存、漏洩が疑われる従業員のパソコンのバックアップや通信記録の保存などにより証拠保全することが考えられます。こういった証拠を積み上げていく作業が重要ですが、その際に証拠の入手や生成方法を明らかにできるようにしておき、証拠の保全や収集にあたって改ざんなどされていないことを保障できるようにする・一定期間保存するようにするなど、後々使えるように準備しておくことが大事になってきます。電子情報などは時間の経過とともになくなりやすく、また改ざんのおそれも疑われるため、素早く保全するとともに改ざんしていないものであることが明らかにできるようにしておきましょう。自社だけで行うとなると技術的な限界がある場合は、警察による捜査の過程で保全してもらう、専門業者の活用も検討する必要があります。
さらに十分に証拠保全出来ていない段階で、漏えいしたと思われる従業員に接触すると証拠隠滅されてしまう可能性も高いことから、漏えいを調査するにあたり情報共有する範囲を限定しておくといった慎重な対応も必要になってきます。
裁判例では情報が漏洩した場合損害賠償責任を判断する上でガイドラインの遵守を考慮するケースもあるため、上記の対策を取っていることが漏えいの法的責任の有無に影響します。業種ごとのガイドラインでは、技術的安全管理措置、組織的安全管理措置といった形でアクセス管理やアクセス状況の監視体制の構築などやその方法等が定められているものもあります。こういったガイドラインを参考に、自社の情報に対する安全管理体制を検討し、仕組み作りをするとよいでしょう。
