公益・一般法人オンライン

法人として留意すべきリスク

7,685件。この数字は、令和 4 年度において、個人データの漏えい等事案として、個人情報の保護に関する法律（以下「法」といいます。）第26条第 1 項に基づいて個人情報保護委員会（以下「委員会」といいます。）に対して報告された件数です（このうち、委員会に対する直接報告事案は4,217件、委任先省庁を経由した事案は3,468件となっています。）。委員会に対する直接報告事案に関して、形態別に見ると、紙媒体のみが漏えい等した割合が95.1％、電子媒体のみが漏えい等した割合が0.2％であり、また、漏えい等事案の発生原因の多くが誤送付、誤交付、誤廃棄、紛失等のいわゆるヒューマンエラーであり（合計83.6％）、次いでインターネット等のネットワークを経由した不正アクセスを原因とするものが多かったようです（8.7％）（注 1 ）。
以上を踏まえると、ヒューマンエラーによって紙媒体のみが漏えいした事案が多かったと考えられ、法人においても、漏えい等事案が発生する潜在的なリスクが存すると考えられます。そこで、漏えい等事案が発生した場合に、法人として取るべき対応や罰則の有無、漏えい等事案の発生を予防する体制整備について説明をしていきます。

情報漏えい等が発生したときの対応

法は、情報漏えい等事案について、「漏えい」「滅失」「毀損」の 3 類型に分類しています。「漏えい」とは、個人データが外部に流出することをいい、例えば、書類の誤送付や電子メールの誤送信、盗難、不正アクセスにより情報が窃取された場合です。「滅失」とは、内容が失われることをいい、例えば、誤廃棄の場合です。「毀損」とは、内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいい、例えば、情報を改ざんされた場合や、ランサムウェア等に