最近は企業の個人情報漏えいのニュースを見聞きする機会が増えました。
これはネット関連の技術が進歩していることへの反動のように思えますが、実際は法改定など様々な要素が複雑に絡み合っています。
そんな個人情報漏えいのリスクや保険の対応について、実例も絡めて解説します。
忙しい人はこちら
そもそも個人情報の漏えいとは
名前や生年月日、住所など、個人を特定できる情報を個人情報と呼びます。
これには指紋や遺伝子情報など、特殊な機械を使わなければ個人を特定できないようなデータも含みます。
クレジットカード番号や銀行口座番号など、犯罪者が狙いやすい情報も典型例です。
| 区分 | 内容 | 具体例 |
|---|---|---|
| 個人情報 | (1) 氏名・生年月日など《単体で特定の個人を識別できる記述》 (2) 他の情報と容易に照合して個人を識別できるもの |
住所・電話番号・メールアドレス 等 |
| 個人識別符号 | 身体的特徴や番号で個人を一意に識別する符号 | マイナンバー・運転免許証番号・顔認証データ |
| 要配慮個人情報 | 人種・信条・病歴など差別につながる高度機微情報 | 健康診断結果・障害の有無 |
| 個人関連情報 | それ単体では個人を識別できず、結合すると個人情報になり得る情報 | Cookie ID・端末識別子 など |
また、『○○県在住のAさんが××市のスーパーで△を購入した』といったような、完全に個人を特定できるとはいいがたいような情報も、時には個人情報として扱われます。
企業はその事業内容によって、顧客や関係者の個人情報を取り扱っていることが多いです。
そして個人情報が記録された媒体(パソコン、USBなど)を紛失してしまったり、ハッキングされてしまい、企業の管理していた個人情報が外部の人の手にわたってしまうことを、個人情報の漏えいと言います。
よくある個人情報漏えいケース
有名な個人情報漏えい事件を見てみましょう。
- 2014年 ベネッセコーポレーション顧客名簿流出事件(委託先社員による内部不正)
- 2021年 LINE 社 海外委託先からの不適切アクセス(クラウド管理体制の不備)
- 2023年 三菱UFJニコス加盟店端末の不正操作によるカード情報流出(マルウェア感染)
顧客情報を扱う業務を他者へ委託すると、セキュリティや従業員への教育度合い、ルールなどが把握しにくくなり、不正や思わぬトラブルで個人情報が漏えいしてしまう可能性があります。
クラウドサービスの利用など、最新のWEB機能を導入する場合も、セキュリティの穴(いわゆる脆弱性)が無いか確認する必要があり、専門知識が全くない状態で導入すると予想もしていなかった問題が起きることがあります。
ウィルスをメールやSNSなどで送りつけてハッキングするという手口もどんどん巧妙になっているので、例えセキュリティソフトを入れていて油断できないのが現状です。
こうして過去の事例を読み解くと、大企業だからこそ従業員や関係者の管理が行き届かず不正が起きてしまうというケースもありますが、ハッキング被害に関しては企業の規模を問わず誰でも被害にあう可能性があることです。
最強の対策は、顧客情報のデータが入っているパソコン、スマホを外部のネットワークにつなげないというものになりますが、そうすると仕事が全然できなくなりますね……。
個人情報漏えいに対応できる保険
個人情報漏えいが起きてしまった時に使える保険は、事業用賠償責任保険(該当特約付き)か、個人情報漏えいリスクに備える単独の保険です。
事業用賠償責任保険は、事業を通して行ったことやものに対して賠償を求められた場合に、その賠償金を保険金でまかなうというもの。
賠償に付随して発生する費用なども、約款で定められているものであれば補償してもらえます。
また、個人情報漏えい、サイバーリスクに関しては、基本補償ではなく特約として設けられているケースが多いです。
そのため、契約していない補償に該当する事故が起きた場合は、補償してもらえません。
単独の保険に関しては、もちろん基本補償で個人情報漏えいに関する補償が受けられます。
なにか特約が設けられている場合、賠償金は基本補償、端末調査費用などの付帯費用は特約といった風に分けられている可能性があるので、内容をしっかり確認しましょう。
こういった保険や特約は、内容をよく確認していなければ、いざというときに必要な補償が受けられなくなる可能性があります。
事業用の保険に強い保険代理店に相談しましょう。
個人情報漏えいによる賠償を補償する保険や特約
補償内容は保険によって変わりますが、主に次のようなものを補償してくれます。
- 賠償金(慰謝料・和解金 等)
- 弁護士費用・訴訟費用
- 被害者への謝罪対応費用(見舞金・通知郵送費 等)
- 事故公表・PR 費用(専用コールセンター設置、広告掲載 等)
- フォレンジック調査・原因究明費用
- システム復旧費用・再発防止対策費用
- 営業損失(事業中断)補償<オプション扱いが多い>
個人情報の漏えいがサイバー犯罪被害にあってのことであれば、保険・特約によっては再発防止のためのセキュリティ強化費用なども補償してもらえます。
ただし、個人情報保護法によって定められた罰金は補償してくれない保険がほとんどです。
個人情報保護法の改定と保険の変化
インターネットやスマートフォンなど、IT分野での技術がどんどん進むにつれて、個人情報の保護に関する重要性も増しています。
そういった世界の動きを受けて、個人情報保護法も数年おきに改定が行われている状態です。
個人情報保護法の変化
| 年 | 主な改正 | ポイント |
|---|---|---|
| 2003 | 個人情報保護法を制定、個人情報の適切な取り扱いを義務化 | 5000件超保有事業者が対象 |
| 2015(2017全面施行) | 改正1:全事業者を対象化/匿名加工情報制度を創設/第三者提供ルール厳格化 | 「5000件要件」撤廃・マイナンバーや顔認証等を保護対象へ |
| 2020(2022.4施行) | 改正2:利用停止・削除請求権拡大/漏えい報告・本人通知を義務化/罰則上限を1億円に引上げ | 要配慮情報1件 or 1000件超流出で速報必須 |
| 2023 | 海外移転規制強化:GDPR との整合性/国外第三者の取扱状況の説明義務 | クラウドサービス利用時にも情報提供が必要 |
2020年の改定では、個人情報漏えいが発生した場合、要配慮情報が1件でも流出、または 1,000 件超の個人データが流出したときは速やかな報告(30日以内)と本人通知が義務化されました。
また、罰則金が1億円以下に、そして個人情報保護委員会への非協力・虚偽報告への罰則金が50万円以下に引き上げられました。
『以下』と聞くと実際は大したことない金額なんじゃないか、と思うかもしれませんが、最高額が1億円に達する”規模”だと考えなおせば、件数によってはかなりの高額になるとわかると思います。
2023年の海外移転規制強化についても、世間に対してそれなりの影響を与えています。
例えばWEBサイトに関して言えば、ほとんどの企業がいつ・どのくらいの人がサイトを閲覧したのかを調べるWEBサービスを使っています。
こういったWEBサービスのシェア率No.1はGoogle、外国の企業です。
そのため、具体的に誰が閲覧したのかはわからない程度の情報収集であっても、サイトのどこかしらに必ず『Googleの○○を使っています』と書かなければいけなくなりました。
最近よくみる『Cookieを許可しますか?』という通知も、この流れを汲んでいるといっていいもので、今後はCookieに関する規制も入るのではないかと言われています。
保険会社の変化
法改正に加えて、ハッキングなどのサイバー犯罪による個人情報漏えいが増加していることも合わせて、補償内容が手厚くなっている傾向があります。
賠償行為に付随する費用(例:弁護士費用)や謝罪対応の費用(例:見舞金)だけではなく、個人情報漏えいやハッキングによって受けた業務に関する損害、システム復旧費用なども補償してくれる保険が増えました。
専用セキュリティソフトの提供、個人情報が盗まれた端末の調査を含む情報収集、行政へ提出する報告書の作成サポート、被害者対応のコンサルティングといった付帯的なサービスもあります。
特に、提供された専用のセキュリティソフトを導入した場合、この個人情報漏えい事故が保険金支払いに値するかといった判定も兼ねているため、保険金請求がスムーズになります。
実際にあった個人情報漏えいと保険の事例
ここからは、実際に起きた個人情報漏えい事件と、それに対する保険会社、保険代理店の動きなどについてご紹介します。
リモートワーク&空き巣で懸賞の当選者情報を漏えい
とある企業 A社が懸賞を行い、多くの応募が集まりました。
当選者には当選したことの連絡や、懸賞品の配送などを行う必要がありますが、A社はB社にその業務を委託しました。
そして、B社は当選者への連絡という業務を、リモートワーク(在宅勤務)をしている従業員数名に任せました。
ところが、リモートワーク中の従業員のうち1名が、自宅で空き巣の被害にあい、当選者の個人情報が入った業務用ノートパソコンを盗まれてしまいました。
B社はすぐにA社へ連絡し、謝罪を行うとともに、自社が加入している事業用賠償責任保険を使い今回の件でかかった費用を賠償すると申し出ました。
後日、A社の個人情報漏えいに関する告知を見た応募者から問い合わせが殺到してしまいました。
漏えいしてしまったのは当選者の個人情報のみですが、当然誰が当選したのかは非公開だったので、応募しただけの人も『私の個人情報が漏えいされちゃったかも…!』と不安になったのです。
そこで、A社はB社に、専用のコールセンターを用意するように要求しました。
30回線で最低30名の担当者が常駐する、期間は3か月、B社に元々いた従業員ではなく新たに教育した従業員を用意するなど、条件が付けられています。
これらの条件をクリアしたコールセンターを用意するとなると、かなりの費用になります。
幸いにもB社が加入している保険では、個人情報漏えいに伴う被害者対応の費用も補償範囲になっていましたが、もし対応する補償が無ければ、高額の費用を自社で負担しなければいけないところでした。
ハッキングされた端末の調査費用
これは事故例というより、保険代理店のお客様から受けたお問い合わせ例です。
会社を経営されているC様は、別の会社を経営する友人Dさんから気になる情報を聞き、現在加入している事業用賠償責任保険の契約内容を確認しなければ、と思われました。
Dさんのそれまた知り合いの方が、ハッキングにより顧客の個人情報を漏えいしてしまった際に、ハッキングを受けた可能性がある端末(パソコン)を調べるのに1台当たり200万円がかかったというのです。
ネットワーク経由で侵入された場合、そのネットワークにつながっているパソコン全てを調べなければいけないので、調査費用はかなりの高額になります。
下記は、ハッキング被害にあった端末を調査する専門業者の費用例です。
調査項目 費用相場(目安) 算定要素 初動対応・証拠保全 10~30万円 緊急度、作業時間、対象機器数 ログ解析 30~100万円 調査範囲、ログの量と保存状況 端末解析 50~150万円 対象端末数、データ量、調査内容 ネットワーク解析 50~200万円 通信量、解析対象ネットワーク範囲 メール調査 30~100万円 メール数、攻撃手法の特定難易度 報告書作成・改善提案 20~50万円 被害規模、報告書の詳細度
※上記の表は1台当たりの料金ではなく、複数台を調査する場合も加味した料金例になっています。
専門知識が必要な上に、調査作業に関しても情報漏えいに気を付ける必要があるため、専門的なソフトを使っていることが想定できます。
具体的にどのくらいの費用が掛かるのかは、委託する業者や調べる端末によって変わりますが、調査項目ごとに万単位のお金が飛んでいくので、ある程度の高額になることは想像に難くありません。
こういった調査費用は、事業用賠償責任保険の場合、賠償と直接関係がある費用とはいいがたいため、補償されるかどうかは保険会社や契約内容によって異なります。
今ではスタンダードな補償内容になりつつありますが、保険の契約内容や約款を確認しましょう。
難しい内容のため、保険に加入した際の保険代理店に相談して確認してもらうのが最も早く簡単ですが、この辺りは保険代理店でもいまいち把握しきれていない可能性もあります。
事業用の保険は、まず保険代理店選びが重要です。
この記事の内容は、家禄堂『保険得々チャンネル』で動画解説しています!
メディアでは語れないもっと踏み込んだ内容についても触れているので、ぜひご覧ください。
ここからは、動画に寄せられた皆さんのご質問、ご感想をご紹介します。
皆さんの反応
この動画には以下のような声が寄せられています。内容を分かりやすくするために一部要約しています。
まとめ
自社が保有するデータ量・種類を確認し、(1)保険の支払限度額と免責金額、(2)漏えい発生時の速報・本人通知フロー、(3)日常の技術的/人的セキュリティ対策を毎年見直しましょう。
保険は費用・賠償をカバーできますが、行政罰やブランド失墜のリスクは自分たちで対策をするしか防ぐ方法はありません。日頃の対策と保険の二段構えが最善です。
コメント