update:2016.09.27
個人情報の流出に関する公表は、いったい何件ぐらいからがいいのでしょうか?
by.個人情報保儀管理者
個人情報の流出の規模で公表の基準を決めるというのは、どうでしょうか?
一見、合理性がありそうですが。流出数の大きさは、事故の規模です。
自分が流出の被害者となったときに、母集団人数の大小で自分の被害が変わるのでしょうか?
ユーザーからしてみれば、「流出の中に自分が含まれているかどうか」が関心であって
同じような人が多いかどうか よりも自分に二次被害があるのか無いのか?のほうが重要です。
個人情報の流出事故や事件が起こってしまったならば、企業として少なくとも
「二次被害を防ぐための情報提供や謝罪」をすることでユーザーの不利益が発生することを
防ぐことが必要ではないでしょうか。
公表 の目的は、 ユーザーの二次被害を防ぐための情報提供がメインです。
そして、監督省庁への報告は、監督省庁による二次被害防止と事故の再発防止が目的となります。
そうなると、 事故の件数よりも 事故の際に含まれる個人情報による 本人の不利益発生の可能性が
あるかどうかということになります。
ひとことで言うと 「個人情報事故の際は、量よりも質」
量と質の関係は、経営者にとっては、被害による賠償リスクの大きさと一緒なので、どちらも無視はできませんが。
流出の際に被害の大きさの算定が必要となりますので、流出が事件・事故いずれにしても
個人情報保護管理者は、規模とともに内容を確認できるように報告をしなくても良い規準をつくることは
避けておいたほうが良いと思います。
また、FAXの誤送信やメールの誤送信であっても、取引先に ご挨拶文の送信間違え等であれば
謝罪とともにデータ削除を依頼し、二次被害が無いことが確認できれば、公表するまでもありません。
添付ファイルに機微情報があれば、そういうわけにもいかない。
個人情報に関しては、ケースバイケースで判断を求められることが多いのはこのためです。