情報漏洩の発生時に企業が行うべき情報開示とは
情報漏洩が発生してしまった際には、場合によっては報告などの行政対応が必要なケースがあります。行政への対応のほかにも「どのような情報が」「いつ」「どのような経緯で漏れたのか」などについては、適切な方法で情報開示を行う必要もあります。
そこで、本記事では、企業の法務部の方を対象に、情報漏洩が発生してしまった場合に、企業が行うべき情報開示について説明をします。
この記事の目次
行政対応と情報開示の違いについて
個人情報の漏洩が発生した場合は、個人情報保護法等の行政上の規制に対する対応を行うことになります。ただし、行政対応を行っただけでは、企業の対応としては不十分といえるでしょう。
例えば、企業が情報漏洩を発生させてしまうと、社会的な影響が生じる可能性があります。
また、上場企業であれば、株主、取引先、顧客等のステークホルダーに対して、速やかに情報開示を行う必要性があります。
行政対応については法律に則った対応という側面がありる一方で、企業が行う情報開示については、情報を扱う企業としての社会的責任を果たすという側面が強いといえるでしょう。
関連記事:個人情報漏洩が発生したら?企業が採るべき行政対応を解説
関連記事:65万件の情報漏えい東建コーポ事例に学ぶ危機管理と弁護士の役割
上場企業の適時開示について
上場企業については、情報漏洩が発生すると広い範囲にわたって影響が生じることになるため、情報開示を行うことが義務付けられています。
例えば、東京証券取引所が公表している有価証券上場規程では、以下のように、適時開示に関する規定が定められています。
(会社情報の開示)
東京証券取引所|有価証券上場規程
第402条
上場会社は、次の各号のいずれかに該当する場合(施行規則で定める基準に該当するものその他の投資者の投資判断に及ぼす影響が軽微なものと当取引所が認めるものを除く。)は、施行規則で定めるところにより、直ちにその内容を開示しなければならない。
(略)
x aから前wまでに掲げる事実のほか、当該上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼすもの
情報漏洩の発生については、「当該上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼすもの」に該当するものと考えられるため、適時開示を行うことが必要となるものと考えられます。
具体的には、発生した情報漏洩の概要、情報漏洩が発生した経緯、発生した情報漏洩に対する対応についての今後の見通しなどを開示することが考えられます。
企業が任意に行うべき情報開示について
上記のように、有価証券上場規程等に従い情報開示を行うケースもありますが、企業としては、リスクヘッジの意味合いを込めて任意に情報開示を行うことも考えられます。
関連記事:企業の個人情報漏洩と損害賠償というリスク
どのようなケースで情報開示を行うべきか
任意の情報開示については、任意である以上、企業としては、理屈上、情報開示を行わないという選択と、情報開示を行うという選択のどちらかを選択することが可能です。
そこで、企業として、情報開示を行うのか、それとも行わないのかということを選択する基準を明確にしておくことが重要となります。
第1の基準としては、情報漏洩による被害が拡大する恐れが実質的に考えられない場合かどうかという基準が考えられます。
情報漏洩が実際に発生はしているものの、現実的な影響がないものと考えられる場合には、任意の情報開示を行う必要性は低いものと考えられます。
情報漏洩による被害が拡大する恐れが実質的に考えられない場合に、任意の情報開示を行うと、かえって混乱を招き、事態が深刻化してしまう可能性があります。
第2の基準としては、情報公開を行うことにより、逆に情報漏洩による被害が拡大する恐れが認められるかどうかという基準が考えられます。
情報漏洩に対する十分な対応ができていないにもかかわらず、情報漏洩が発生したことを公開してしまうと、情報を不正に入手しようと考えている者の目につき、さらなる情報漏洩が発生してしまう可能性もあります。
そうすると、任意の情報公開を行うことにより、より情報漏洩の被害が拡大してしまい、結果として権利侵害がさらに拡大してしまう可能性があります。
ただし、上記の基準については、必ずしも一般化できるものではなく、ケースごとに情報公開を行うかどうかの基準をしっかりと精査し、情報公開の是非を判断する必要があります。
情報開示を行うべき事項について
情報開示を行う場合には、情報開示を行うべき事項についても慎重に検討をする必要があります。
情報開示を行うべき事項については、例えば以下のような事項が考えられます。
- 発生した情報漏洩の種類
- 情報漏洩が発生したことを企業が認識した日
- 情報漏洩が発生した日
- 情報漏洩が発生したことが判明した経緯
- 情報漏洩が発生した原因
- 情報漏洩により発生する恐れのある被害の内容
- 今後の被害拡大や二次被害発生の恐れの有無
- 企業が行った情報漏洩に対する対策
- 情報漏洩の原因に関する調査の内容
- 警察等への報告の有無
ただ、情報開示を行うべき事項についても、事案により開示が望ましい事項が異なるため、事案により個別的に判断をする必要があります。
情報開示を行う方法について
情報開示を行う方法については、例えば、以下のような方法が考えられます。
- 企業のホームページに掲載をするという方法
- マスコミに対する記者会見という形で発表を行う方法
- 情報の漏洩により権利利益が侵害される可能性のある個人に個別に連絡をするという方法
上記の情報開示の方法については、一例に過ぎませんので、事案ごとに適切な方法を選択する必要があります。
マスコミに対する記者会見を行う際の注意点
記者会見を行う場合には、情報開示の内容が広く多くの人に認知されることになります。そのため、そもそも記者会見という方法により、情報開示を行うことが適切なのかという点について、慎重に検討を行う必要があります。
例えば、企業が既にホームページなどで開示している情報以上の情報が存在していないような場合であると、記者会見を行っても、新たな情報を公開することができないこととなります。新たな情報が出てこない記者会見を開いてしまうと、記者会見を見た人に対し「しっかりと情報公開を行っておらず、説明責任を果たしていない不誠実な会社」というイメージを持たれてしまう可能性もありますので、注意が必要です。
また、記者会見で話した内容については、撤回や訂正を行うことが事実上難しいというケースもあります。
そのため、記者会見で話す内容については、弁護士等の専門家を交え、あらかじめ話す内容を決めておくなどしっかりと準備を行う必要があります。
情報の漏洩により権利利益が侵害される可能性のある個人に個別に連絡をする際の注意点
情報の漏洩により権利利益が侵害される可能性のある者が判明している場合には、情報の漏洩の事実を公表するよりも先に、当該被害者に個別に連絡を取ることが望ましいと考えられます。
被害者に個別に連絡を行う前に、公表に踏み切ると、被害者が企業に対して不信感を抱き、敵対的な意識を強めてしまう可能性があります。
また、被害者への個別の連絡が可能であったにもかかわらず、先に公表を行ってしまうと、企業の社会的な信頼が損なわれてしまう可能性もあります。
企業が情報漏洩を防ぐにはどうすればよいか
ここまで、情報漏洩が発生した場合の企業の行うべき情報開示について説明をしましたが、やはり、情報漏洩を発生させないことが重要です。
個人情報保護法第23条では、安全管理措置に関し、以下のように規定されています。
(安全管理措置)
e-Gov|個人情報保護法
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
安全管理措置の内容としては、例えば以下のような措置をとることが考えられます。
- 個人データの取り扱いに関する基本方針の策定
- 個人データの取り扱いに関する規律の整備
- 組織体制の整備
- 個人データの取り扱いに関する規律に従った運用
- 個人データの取り扱い状況を確認する手段の整備
- 情報漏洩の事案に対応する体制の整備
- 個人データの取り扱い状況の把握及び安全管理措置の見直し
- 個人データを扱う従業員に対する教育
- 個人データの漏洩を防ぐための物理的安全管理措置の実施
- 個人データの漏洩を防ぐための技術的安全管理措置の実施
企業の状況に合わせて、上記のような安全管理措置を行うことにより、情報の漏洩が生じる危険を減らすことができるものと考えられます。
まとめ:情報漏洩に関する情報開示は弁護士に相談を
この記事では、企業の法務部の方を対象に、情報漏洩が発生してしまった場合に、企業が行うべき情報開示について説明をしました。
情報漏洩の事態が発生しないことが最も良いことですが、100%情報漏洩を防ぐことは現実的には難しいものと考えられます。
そのため、情報漏洩の事態が発生してしまった場合には、企業として適切な対応を行うことが重要となります。
情報漏洩への対応につきましては、事案に合わせた慎重な検討が要求されますので、専門的な知識を有する弁護士に相談を行うことをオススメします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。社内規程の策定に当たっては専門的な知見が不可欠です。当事務所では、東証上場企業からベンチャー企業まで、さまざまな案件のレビューを行っております。もし社内規程についてお困りであれば、下記記事をご参照ください。
カテゴリー: IT・ベンチャーの企業法務