個人情報漏えいについてPマーク会社は公表すべきか

個人情報漏えいのニュースをさまざまなメディアで目にすることがあります。ニュースサイトなどで見ることもありますが、時にはその事件が発生した企業のコーポレートサイトのページ上で見かけることもあります。

そのような企業は自社において発生した事故を公表する必要があるとの考え方のもと事故の経緯を一般に向けて公表します。ここで問題となるのは、「もし個人情報の漏えいなどの緊急事態が発生したならばプライバシーマーク（Pマーク）取得会社はそのことをWebサイトなどに公表すべきか」という点です。

公表すべきかどうか

この問題についてプライバシーマーク（Pマーク）の規格であるJIS Q 15001は「可能な限り」という表現を使って公表することを要求しています。発生した問題の大小を問わずに一律公表することが義務付けられているわけではありませんが、基本的に公表する方針で考えるべきと言えるでしょう。

特に事故の規模や影響範囲が大きい場合、プライバシーマーク（Pマーク）取得会社は経緯等を公表することが望ましいでしょう。なお「公表する」とは、情報を社外の人が見られる状態にすることを言います。

公表することの利点を考える

プライバシーマーク（Pマーク）を取得・更新している会社は、事故を公表するかどうかを判断するにあたって、公表することにどのようなメリットがあるかを認識しておくようにしましょう。

公表する目的とは主に「二次被害の防止」や「類似事案の発生回避」です。

たとえばプライバシーマーク（Pマーク）取得会社のWebサービスにおいてID・パスワード情報の一部が漏えいしたことが判明したとしましょう。そのことを速やかに公表するなら、ただちにアカウント情報の変更を行うよう他のユーザーに促すことができます。

稀に情報を公表することがかえって次なる事件の誘発につながる場合もあります。しかしそのような場合でも情報公開の対象や時期を見極めることで対応し、適切な方法による情報公表に努めるのがよいでしょう。

何を公表すればよいか

実際に公表に踏み切る場合、プライバシーマーク（Pマーク）取得会社はどのような公表文を作成すればよいでしょうか。

最低限必要な項目は「事実関係」、「発生原因」、「対応策」です。

「事実関係」とは、いつ、どこで（どのサービスにおいて）、どのような個人情報が、何件ほど漏えいしたかなど、事故の顛末を示す内容のことです。一般的には事故の被害内容も含みます。

「発生原因」とは、個人情報の漏えいが発生した原因のことです。

「対応策」とは当面の対応策と再発防止策などのことで、すでに実施していることとこれから実施することが明確になるように記載する必要があるでしょう。

もちろん以上のような内容に先立って冒頭に情報を漏えいさせてしまったことへのお詫びや会社としての姿勢を示す必要があります。また事故に関する問い合わせ窓口として連絡先を記載しておくこともおすすめします。

まとめ

個人情報の漏えいは絶対に起こってはならないことですが、もしもプライバシーマーク（Pマーク）取得会社においてそのような事態が発生したとしても迅速に対応し、真摯に情報公開を行うことによって問題を最小限にとどめることができます。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】