近年、企業などからの顧客データや機密データの漏洩が社会問題となっています。
話題となった漏洩事件を、顧客データ漏洩と機密データ漏洩に分けて振り返りながら、万が一漏洩が起きてしまった場合に企業が取るべき対応や、取り得る対策について解説します。

記事を監修した弁護士

Authense法律事務所

弁護士　

中村 穂積

（東京弁護士会）

東北大学法学部卒業。旧司法試験第59期。上場会社のインハウス経験を活かし、企業法務に関するアドバイス、法務部立ち上げや運営のコンサルティング、上場に向けたコンプライアンス体制構築や運営の支援等を行う。IT・情報関連法務、著作権など知的財産権法務、知的財産権を活用した企業運営・管理等のコンサルティングを行う。
＜メディア関係者の方＞取材等に関するお問い合わせはこちら

顧客データの漏洩事件の例

情報漏洩が問題となった事件は、個人情報を含む顧客データの漏洩と、会社の機密情報の漏洩に大きく分けることができます。
まずは、近年報じられた顧客データ漏洩事件について振り返ってみましょう。
どの事件も大々的に報じられましたので、記憶にあるという方も多いのではないかと思います。

アーバンリサーチ

株式会社アーバンリサーチはアパレル商品を扱う企業であり、公式のオンラインストアも開設しています。
この公式オンラインストアにて、2021年3月7日夜から8日昼にかけて不正アクセスが発生し、全会員のうち31万7326人分の個人情報が流出した恐れがあることを発表されました。

流出した可能性のある情報は、住所、氏名、電話番号、メールアドレス、生年月日、性別、会員ID、会員ステージなどで、クレジットカードの情報は含まれておらず、二次被害は確認されなかったようです。

アーバンリサーチは同日、不正アクセスをしていたIPアドレス群からの通信を遮断。
3月10日にこの旨を公表し、その後セキュリティ設定の強化や、流出した恐れのある顧客への個別案内など対策を進めているようです。※1

セブン・ペイ

株式会社セブン・ペイは、スマートフォン決済サービス7payを提供していた企業であり、セブン&アイ・ホールディングスグループの企業です。
7payサービスのシステムが不正アクセスに遭ったことが2019年7月2日に発覚しました。※2

7payは、被害が発覚する前日である2019年7月1日にサービスを開始したばかりで、二要素認証などセキュリティの脆弱性が情報漏洩の原因とされる不正アクセスにつながったとされているようです。
7payは、この事件を受け、2019年9月30日をもってサービスを終了しました。※3

ベネッセコーポレーション

株式会社ベネッセコーポレーションは、「進研ゼミ」などの通信教育を手掛ける企業です。
2014年、進研ゼミを含むサービスの利用者につき、子供や保護者の住所や氏名、電話番号、子供の性別や生年月日などの情報が漏洩しました。漏洩した情報は約2,895万件に上るとされています。※4

この事件では、ベネッセコーポレーションが関連会社に個人情報を取り扱う業務を委託していたところ、その関連会社の派遣社員が情報を漏えいしたものとされています。※5

2020年3月25日には、東京高裁より、損害の賠償として、1人当たり3,300円を支払うよう命じられました。※6

顧客データ漏洩による影響

顧客データの漏洩事件の例として3件を挙げましたが、これら以外にも顧客データの漏洩事件は、毎年かなりの数発生しています。
それでは、万が一このような顧客データの漏洩が起きると、企業にとってどのような影響があるのでしょうか？

顧客対応

万が一顧客データの漏洩が発生してしまった場合には、どのようなデータが流出したかを確認の上、影響を受ける可能性のある顧客へ通知することが必要です。
漏洩が一般に大きな影響を与えると考えられる場合は、顧客への個別対応のみならず広く公表が必要となることもあるでしょう。

損害賠償

次に、実際にデータが漏洩してしまった顧客に対しては、損害賠償が必要となる可能性もあります。
データ漏えいの場合の損害賠償額は一律ではなく、漏洩したデータの内容やデータ漏洩による実害などにより、賠償額は異なってくるでしょう。

例えば、クレジットカードの情報が漏洩して不正使用の被害が出てしまった場合や、病歴などのセンシティブな情報が漏洩してしまった場合には、比較的高額になる可能性があります。

信用の失墜

さらに、顧客データの漏洩により、企業の積み上げてきた信頼が失墜してしまう可能性も高いでしょう。
また、漏洩自体に加え、その後の対応が適切でない場合には、これまでの顧客が離れてしまうことも考えられます。
これにより、長期にわたって業績に影響が出る可能性もありますので、特に注意が必要です。

顧客データ漏洩が起きた際に取るべき企業の対応

では、万が一、自社で顧客データの漏洩が起きてしまった場合には、どのような対応を取れば良いのでしょうか？

初動対応

被害の拡大、二次被害の拡大を防止します。現在もデータの漏洩が継続している場合には、まずは漏洩を止めることが必要です。
例えば、不正アクセスを受けてデータが漏洩している場合には、通信を一時シャットダウンするなどです。

情報を整理し、通知・報告を行う

漏洩した情報を整理し、顧客への通知や報告を行います。
対応が遅れたり、不誠実な場合、二次被害を起こすだけでなく、いわゆる炎上状態となってしまう可能性もあります。

原因を追求し再発防止策を策定する

データ漏洩の原因を追求し、再発防止策を講じます。
原因が判明した際には、なぜデータが漏洩してしまったのか、その原因をあらためて公表することで、失ってしまった顧客からの信頼回復に努めることが必要です。

• 料金プラン
• 資料ダウンロード

機密データの漏洩事件の例

さて、ここまでは、顧客データの漏洩についてみてきました。
顧客データの漏洩も大きな問題である一方で、近年では、企業の機密情報の漏洩も問題となっています。
近年の機密情報漏洩に関する事件を振り返ってみましょう。

楽天モバイル

2021年1月、ソフトバンク株式会社を退社し楽天モバイル株式会社へ転職した人物が、ソフトバンクから機密情報を不正に持ち出した容疑で逮捕されました。

持ち出した情報は次世代通信規格である「5G」に関するものです。※7

積水化学工業

2020年、積水化学工業株式会社の元社員が、中国広東省に本社を置く通信機器部品メーカー「潮州三環グループ」へ転職した際、積水化学工業の営業機密情報を漏洩したとして、書類送検されました。

中国企業が、ビジネス系のSNSである「LinkedIn」で元社員に接触したことも大きな話題となった事件です。※8

データ漏洩の主な原因

顧客データもそれ以外の機密情報も、万が一漏洩してしまえば、企業への影響は計り知れません。
では、これらのデータ漏洩を防ぐには、どうすれば良いのでしょうか？
データ漏洩の原因となり得る事項から、検討してみましょう。

人的ミス

データ漏洩の原因の1つに、人的ミスによる物が挙げられます。
人的ミスには、例えば外出先でのパソコン・スマートフォンの置き忘れや、2020年、名古屋市が誤って新型コロナ感染者の氏名をホームページで公開してしまった事例のような操作ミスによるものなどがあります。※9

人的なミスを防ぐには、マニュアルや就業規則などの整備と、その遵守の徹底が有効です。
例えば、置き忘れなどの対策としては、顧客データの入ったパソコンは社外へ持ち出さないよう規則で定めるなどです。

また、顧客情報を誤って公表することがないよう、データを取り違えないようマニュアルを完備したり、二重チェックをしたりすることが考えられます。

こういった対策は、仮にマニュアルを整備していたとしても、日々の面倒さから、いつの間にか守られなくなってしまっているケースも少なくありません。
改めて遵守の徹底をすることで、防ぐことのできるミスも多いでしょう。

故意的な持ち出し

また、人的なものには、上記のようなミスによるもののほか、故意による持ち出しによるものもあり得ます。

故意的な持ち出しを100％防ぐことは困難ではありますが、機密情報を扱う場所へのスマートフォンの持ち込み禁止などの規定の整備することで情報の持ち出しを困難とすることなどが考えられます。
また、故意に持ち出した場合の対応などを就業規則や雇用契約書などで定め、入社時や定期的な研修などで周知徹底したりすることで、抑止効果とする方法もあるでしょう。

システムの脆弱性

昨今増えている情報漏洩の原因の1つに、システムの脆弱性があります。
先の述べた7payの漏洩事件などがこれに該当します。

これを防ぐには、ウイルス対策ソフトを常に最新のものとするなどといったシステムの強化のほか、システム部門の強化など人的資源の確保などが考えられます。

まとめ

顧客データもその他の機密情報も、万が一漏洩してしまった際には、企業活動へ大きな影響を及ぼす可能性があります。

日頃からできる対策やマニュアルなどの徹底に注意を払うことに加え、改めて規定の整備なども検討して、対策を講じておくと良いでしょう。

Authenseが発刊する
経営者向けビジネスマガジン