個人情報流出疑いは発表すべきかどうかの議論

セキュリティインシデント、とりわけ個人情報等*1流出の疑いがあったときにどういう行動を取るべきかについては大きく分けると二流派あって、かたや絶対に公表しない派、かたや絶対に公表する派。これはセキュリティの専門家のあいだでも議論が完全に分かれる話になっていて、飲み会でうっかり話題にするともう大激論になってしまう、セキュリティ業界のきのこたけのこ(あるいはEmacs-Vim)と言えるネタになっている。らしい。

そんな議論に対して自分自身の考えをいい加減まとめないとなあと思って諸々調べた結果、以下の結論にたどり着いた:

必要があれば公表するし、必要がなければ公表しない

何を当たり前な、と思われそうなので、以下で説明していきたい。 ……と、その前に前提として、公表する・しない両派の考え方を書いておきたい。

公表しない派の考え方

公表しない派の考えはシンプルだ。必要のないことだから、だ。

公表の必要がないものを公表するのは自分勝手な正義に過ぎない。 株式会社には株主というステークホルダーがいる。公表という行動は株価を下げる可能性があり、セキュリティ上の実効性がないにもかかわらず会社のレピュテーションを毀損し、株主に損害を与えるリスクだけがある行為になる。また必要以上の問い合わせを受けることにもつながる。必要がない限りは公表すべきではない。

公表する派の考え方

では、公表する派の人は何を考えて公表すると言っているかというと、これはひとえに「隠すリスクが高すぎるから」、これに尽きる。 隠していたものをあとで「実は問題わかってましたテヘペロ」と説明するのは取り返しがつかないほど心証が悪い。それであれば予め、漏洩の可能性がわかった時点で公表しておいて、あとで「これは何でもありませんでした」と規模を小さく説明し直すほうがダメージが少ない。

IPA の「情報漏えい発生時の対応ポイント集」4ページ目にも、透明性・開示の原則として以下のように記載されている。

被害拡大防止や類似事故の防止、企業組織の説明責任の観点から必要と判断される場合には、組織の透明性を確保し情報を開示する姿勢で臨むことが好ましいと考えられます。情報公開により被害の拡大が見込まれるような特殊なケースを除いては、情報を公開することを前提とした対応が企業(組織)の信頼につながります。

どちらも組織のためを思ってそれぞれの正義でもって公表する・しないを信念持って定めているわけなので、こうなってくるともうお互いに議論は平行線だ。 しかしそれにしても、法律や業界標準、規制などはないのか、というと……:

法律上の定めでは、公表の義務はなし

実はそのものズバリなガイドラインがある。

個人データの漏えい等の事案が発生した場合等の対応について |個人情報保護委員会

これは法律ではないけど、個人情報保護法では大抵のことは個人情報保護委員会が定めるものに従うことになっているので、そのガバナンスの一環としては法体系の一部のような位置づけのようなものととらえてそう遠くはないだろう。

こちらによれば、通知が必要なのは漏洩被害のあった本人、個人情報保護委員会(等)である。公表については以下のように記載がある:

個人情報取扱事業者は、漏えい等事案が発覚した場合は、次の(1)から(6)に掲げる事項について必要な措置を講ずることが望ましい。

(中略)

(6) 事実関係及び再発防止策等の公表

漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。

素直に読むと、「公表は義務ではないが、必要ならやるべき」ということになる。「必要」かどうかは組織の判断が必要だろう。

一方このガイドラインに関する FAQには、以下のように記載されている:

Q12-5 漏えい等事案が発覚した場合に講ずべき措置(中略)について、「漏えい等事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもよいのですか。

A12-5(略)公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し控え、専門機関等に相談することも考えられます。また、漏えい等事案の影響を受ける可能性のある本人全てに連絡がついた場合に公表を省略することも考えられます。

公表を前提としているとも、個人情報保護委員会は直接関与しないという姿勢を取っているようにも読める。

全員への連絡のための手段としての「公表」

さておき、このガイドライン FAQ で重要なのは、「本人全てに連絡がついた場合には公表を省略できる」という部分だ。これは裏を返せば、本人すべてに連絡がつかない場合には公表を省略できない*2、ということになる。すなわち、公表は漏洩対象全員への連絡手段として考えられるということだ。

個人情報保護委員会ガイドラインによれば、漏洩の事実や可能性がわかった段階で本人へ連絡をすることが必要なわけだが、全員に連絡がつくとは限らない。たとえば退会していたり、メールアドレスが正しくなかったり解約済みだったり……。こういったケースでは、個人情報保護委員会の定める「全員への連絡」をすることが困難になる。

この「全員への連絡」の手段として、公表というのは非常に現実的な選択肢だ。というかほかにない。

なお漏洩対象の個人への連絡は 2021 年 7 月現在は努力義務である一方、 2022 年施行予定の改正個人情報保護法では必須化される予定となっている。現時点でも、努力義務と言っても遵守する必要は高いもの*3だが、改正後は公表の必然性がより高まるとも考えられる。

[PDF]改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)

ちなみに個人情報保護法の令和2年改正では、「個人の権利利益を害する」かどうかが主軸となる。そのため、漏洩させた企業は、その個人の権利利益を保護することを目的として事後対応を行っていくことになる。

「おそれ」段階でも基本的に同じ

では、漏洩のおそれがある段階、すなわち侵害の事実が判明したものの漏洩の事実は確認できていない段階では、公表や通知等はどのようにするべきか?というと、これは非常にシンプルで、基本的に「おそれ」段階でもやるべきことは変わらない。本人に連絡し、個人情報保護委員会等に連絡し、必要に応じて当局(この場合は警察や管轄官庁)と連携をとっていく。

先ほどから挙げている、個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)」に以下の通り記載があるとおりだ。付け加えることはない。

1.対象とする事案

本告示は、次の(1)から(3)までのいずれかに該当する事案(以下「漏えい等事案」と いう。)を対象とする。

(1)個人情報取扱事業者保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損

(2)個人情報取扱事業者保有する加工方法等情報(個人情報の保護に関する法律施行規則(平成 28 年 10 月5日個人情報保護委員会規則第3号)第 20 条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい

(3)上記(1)又は(2)のおそれ

公表しない場合

公表を要しない場合についてもガイドライン FAQ に記載がある。 例えば脆弱性があって、公表したらもっと情報が漏れますなんて状態のときは、当然公表はすべきではない。

透明性の原則について

ところで、 IPA の言う「透明性・開示の原則」とは一体何なのか。 IPA の先ほどの情報漏えい発生時の対応ポイント集の記載をもう一度見てみると:

被害拡大防止や類似事故の防止、企業組織の説明責任の観点から必要と判断される場合には、組織の透明性を確保し情報を開示する姿勢で臨むことが好ましいと考えられます。情報公開により被害の拡大が見込まれるような特殊なケースを除いては、情報を公開することを前提とした対応が企業(組織)の信頼につながります。

説明責任や市場から見た好ましさ、組織の信頼性といった要素が挙げられている。 個人として考えてみると、ある企業を信頼するかどうかに、透明性が大きく関わってくるのは当然ではある。

日本製薬工業協会の [PDF]「透明性の確保に関する取り組み 」というドキュメントには以下のように記載がある:

会員会社の活動における医療機関等との関係の透明性を確保することにより、製薬産業が、医学・薬学をはじめとするライフサイエンスの発展に寄与していること及び企業活動は高い倫理性を担保した上で行われていることについて広く理解を得ることを目的とする

やはり、透明性は CSR の一環として確保されるべきものと考えるとややスッキリする。もちろん株式会社や上場会社として果たすべき部分はあるにしても、そうではなく、明確な要請のないところに透明性を確保することで企業活動の信頼性を高める、一種の社会貢献という面があると見るとスムーズだ。業界によっては競争力になるにせよ。

両派の言い分ってほとんど同じだったのではないか?

以上のことをまとめると、個人情報が漏洩した場合の対応というのは、以下のようになる:

  • 個人情報漏洩の事実が認められた、あるいはそのおそれが発覚したら、以下の手続きをとる
    • 個人情報保護委員会に通知
    • 漏洩した本人全員に通知
      • 連絡が取れない人に対しては、公表など、本人に連絡を取る努力をする

……と、ここまで来ると、公表するしない両派の考え方って実はほとんど同じか、あるいはすごく狭い範囲での違いを話しているだけに思えた。

公表しない派は、誰か一人でも連絡が取れなければ公表するのはほぼ既定路線。漏洩した全員と連絡が取れるのにわざわざ公表するなんて考えられない、という程度の話だ。

一方で公表する派は、「隠蔽」を嫌っている。「隠蔽」としては、個人情報保護委員会や本人へ通知してないケース、あとから公表が必要だとわかったケース、などが考えられるが、いずれも本来実施すべきことはガイドライン通りの一本道だ。 前者は、個人情報保護委員会や本人に通知してない段階で是正勧告対象。公表以前にアウトな行動だ。 また後者、あとから公表が必要だとわかったケースも、「おそれ」段階で最大漏洩人数を適切に把握できていないのが問題。連絡が取れない人がいるとわかった時点で、公表等の手段を検討する必要がある。

公表する派と公表しない派とが衝突するのは、正しく個人情報保護委員会と漏洩した全員に通知できた場合に、その事案を社会責任として公表するかどうか……というケースだけだ。

「サイバーセキュリティ法務」では?

手元にたまたま「サイバーセキュリティ法務」という本があり、そこに書いてある内容が実に腑に落ちるものだった。(アフィリンク)

こちらの評価では、基本的には透明性原則を優先して公表すべき、という考え方をしている。とくに上場企業であれば適時開示をする必要があるが、そうでなくても、被害の可能性がある場合には可能な限り早い段階で被害者にリーチしておくことで二次被害を防ぐことが重要であるとしている。

一方で、公表の必要がないケースとして、被害拡大のおそれが実質的にない場合、好評により被害が拡大するおそれがある場合のふたつが挙げられている。

とはいえケースバイケースなので、公表する・しないことで生まれる利益不利益を利益衡量することが必要だろう、というところで公表判断のところは締められている。

この考え方は非常にしっくり来る。ただ、結局公開するしないはまさしく透明性に関する組織全体の考え方に依るところが大きい。個人的な方針としては、自分自身としては透明性原則をやや優先しながら、組織としての判断を尊重していくのがよいかな、というところに落ち着きそうだ。

*1:個人データや特定個人情報など色々あるが、この記事ではすべて「個人情報」で統一する

*2:論理的に裏なので同じじゃないけど気にしないでほしい

*3:個人の権利利益保護のため必要と考えられる場合には個人情報保護委員会が勧告・命令を出すことができる