2023年7月2日公開
迅速な初動対応が鍵!【原因別】顧客情報漏えい時の対応マニュアル
顧客情報の漏えいが発生した場合には、迅速かつ正確な情報提供と被害抑止策の実施が重要です。また原因の調査と再発防止策の策定が欠かせません。
顧客情報には、多くの個人情報が含まれています。そのため顧客情報が漏えいしてしまった場合、企業としての信頼を損なう大きな問題となります。事実、情報漏えいが原因で株価が大きく下落するケースもあります。
また、情報漏えいにより第三者に損害を与えた場合は、事故原因や被害の調査費用に加え、損害賠償金の支払いなどの各種費用が発生します。
このように、顧客情報の漏えいは企業にとって大きなリスクです。そこでこの記事では、下記の項目を中心に、顧客の個人情報が漏えいした場合の対応について解説します。
・顧客情報の漏えいを最小限に食い止めるには初動対応が鍵
・【原因別】顧客情報(個人情報)漏えい時の対応
・顧客情報が流出しないようにするためにできること
まずは万が一顧客情報が漏えいした場合に、やるべきことを見ていきましょう。
目次
顧客情報漏えいを最小限に食い止めるには初動対応が鍵
個人情報保護法において、企業は個人情報の保護に努める必要があると定められています。顧客情報には、多くの個人情報が含まれています。そのため顧客情報の流出は、顧客からの信頼を失う重大な問題なのです。
万が一顧客情報が漏えいしてしまった場合、マーケティング担当者は、法律や規制に従い、適切に対処する必要があります。具体的には、以下のような対応が必要です。
どのような対応を実施するかは、漏えいした情報の種類や範囲、原因によって異なります。そのため、まずは漏えいした情報の種類や範囲、原因を速やかに特定し、原因に適した応急措置を施します。
つまり、情報漏えいによる被害の拡大や二次被害を防止する上で、情報の種類や範囲、原因の特定と応急措置までの初動対応が鍵となります。
【原因別】顧客情報(個人情報)漏えい時の対応
ここでは初動対応から事後対応まで、主な原因別に解説します。
個人情報漏えいの主な原因
東京商工リサーチの調査によれば、2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)でした。また、2022年の情報漏えい・紛失事故の主な原因は、下記の通りです。
引用元:個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~
次は、それぞれの原因別に初動対応から事後対応まで解説します。
ウイルス感染の場合の対応
ウイルス感染により、顧客情報が漏えいする場合は、ウイルス対策ソフトやネットワークの監視、メール等を受信した外部からの通知により発覚するケースが多いでしょう。ウイルス感染による情報漏えいの主な事例は、下記の通りです。
・パソコンを不正操作され、パソコン内の機密情報が悪意のある第三者に窃取される
・会社の機密情報(風評を含む)がWebサイトに掲載され、不特定多数に閲覧可能な状態になる
ウイルス感染により顧客情報が漏えいした場合は、ただちにシステムの使用を停止し、システムからのウイルス除去などの応急処置を行います。またウイルスの種類が特定できた場合は、ウイルス対策を実施します。
さらに、下記の情報を収集したり、暗号化やアクセス制限の状況を確認します。
また、ウイルス感染により漏えいした情報も確認します。
応急処置を施し上記の情報が確認でき次第、調査を実施し二次被害防止策を講じます。調査する際には、重要なデータをいったん外部メディアにバックアップします。この時、バックアップデータにウイルスが混入している恐れがあるため、注意が必要です。
ウイルス感染により顧客情報が漏えいした際の、主な二次被害防止策は下記の通りです。
さらに、再発防止のために、重要な情報の隔離やウイルス対策製品の導入など、技術的な策を講じます。
不正アクセスの場合の対応
不正アクセスの多くは、インターネットに接続している企業(組織)のサーバに対して行われ、ログの確認やセキュリティ対策機器の警報によって発見されるケースが多いでしょう。不正アクセスによる情報漏えいの、主な事例は下記の通りです。
・Web上で ID、パスワードを不正利用され、情報を他のサイトに掲示された
・ぜい弱性の悪用により不正アクセスされ、非公開情報を窃取された
・Webアプリケーションのぜい弱性を悪用され、サーバにウイルスを埋め込まれた
不正アクセスによって個人情報や機密情報が漏えいする危険性が確認された場合は、ただちにネットワークから切り離し、サービスを停止するなどの処置を講じます。加えて、下記の情報を収集し、整理します。
また、不正アクセスにより漏えいした情報も確認します。
上記の事実関係を確認後、速やかに応急措置を実施します。
不正アクセスの場合、機器に残された記録は重要な証拠となるため、内容が変更されたり損なわれたりしないよう、証拠保全措置を講じます。予想される二次被害を防ぐためにも、どのように侵入が行われたのか、どういった情報にアクセスした形跡があるかなどについて調査します。
不正アクセスの場合の、具体的な二次被害防止対策は下記の通りです。
事後対応として、業務上のルール違反や管理上のミスがあった場合は、必要な処分を行います。
誤送信・Web での誤公開の場合の対応
誤送信・Webでの誤公開により、顧客の個人情報が漏えいした場合、ミスをした本人、もしくは公開された情報を見た第三者からの指摘により発見される可能性が高いでしょう。このケースの主な原因は下記の通りです。
・相手のメールアドレスを打ち間違え、他人に誤送信してしまう
・同報メールの宛先を【BCC】に書くべきところ、誤って【CC】にして送信してしまう
・Webサイトから他の会員に誤ってIDやパスワードを送信してしまう
・Webサイトで誤って非公開情報を公開情報としてしまう
誤送信・Web での誤公開が発生した場合は、まずは下記の情報を収集し、整理します。
また、誤送信・Web での誤公開により漏えいした情報も確認します。
上記の事実関係を確認後、速やかに応急措置を実施します。
応急措置に加えて、漏えいした情報の範囲、原因、被害状況等について調査し、さらに被害の重要度を判定します。
調査結果に基づいて、個人情報が漏えいしている恐れがある場合は、対象者に対して通知と謝罪を行います。規模が大きい場合は、自社のWebサイト等で経緯を公表します。
状況によって、下記の二次被害防止対策を実施しましょう。
業務上のルール違反や管理上のミスがあった場合は、必要な処分を行います。
紛失・盗難の場合の対応の流れ
パソコンやUSBメモリなどの置き忘れや盗難も、大きなリスクです。まずは、どのような情報がどの程度含まれているのか、暗号化やアクセス制限の状況はどうなっているのかを確認します。具体的には下記の情報を収集し、整理します。
また、紛失した情報も確認します。
上記の事実関係を確認後、速やかに応急措置を実施します。
応急措置と並行して、企業(組織)内に残された記録から、紛失・盗難にあった情報をなるべく正確に把握します。またこの時に、被害の重要度を判定します。機器・媒体がオークションや中古市場に出回っていないかという点も確認しましょう。
業務上のルール違反や管理上のミスがあった場合は、必要な処分を行います。
顧客情報が漏えいしないようにするために今できること
顧客情報が漏えいしてしまった場合、企業の信頼が失われる大きな問題となります。それゆえ、万が一漏えいが起きた場合に備えて、迅速に適切な対応を取れるよう準備しておくことも重要です。同時に、漏えいが起こらないように、顧客情報を適切に管理することも重要です。ここでは、顧客情報の漏えいを起こさないためにできることについて解説します。
データの保存や共有に関するルールを策定
社員が使用するシステムやクラウドストレージの選定ルールを策定したり、情報にアクセスできる人を限定したりすることは、情報漏えいの防止に繋がります。具体的には下記の通りです。
・顧客情報の保存先を決める
・パスワード保護されたファイル共有サービスを使用して顧客情報を共有する
このようにデータの保存や共有に関するルールを策定することで、顧客情報の漏えいを防げます。
社員教育
情報漏えいを防止するためには、社員の意識向上が必要です。具体的には、データの取り扱いに関するマニュアルやガイドラインの作成、従業員に対する定期的な教育・訓練の実施により、データの適切な取り扱いに対する意識を高めることができます。
特にリモートワークの場合はセキュリティ上のリスクが高まるため、セキュリティ意識を高める教育が重要です。
情報の暗号化
外部からの攻撃に対する対策として、重要な情報は暗号化を行います。顧客情報を含むデータを暗号化することで、万が一第三者によって不正にアクセスされた場合でも、情報を保護することができます。
まずは、データベースやファイルサーバに保存された情報から、暗号化を行うといいでしょう。
外部委託先の選定
顧客情報を扱う外部委託先に関しても、情報漏えいのリスクがあります。顧客情報を外部委託先に預ける場合は、セキュリティ対策が十分に行われているかどうかを確認することが重要です。セキュリティレベルの高い委託先を選定することで、漏えいリスクを低減できます。
顧客情報を安全に管理する上でCRMシステムが最適な理由
顧客情報を取り扱う場合は、CRM(顧客関係管理)システムを活用することで、情報の管理やセキュリティ対策が容易になります。多くのCRMシステムには、アクセス権限の設定やログの取得、情報の暗号化など、セキュリティ対策が導入されています。
そのため、エクセルファイルなどで顧客情報を管理するのに比べて、情報漏えいリスクの低減が期待できます。
顧客情報を管理するためにCRMツールを選択する際には、顧客データ管理や分析機能といった基本機能だけでなく、セキュリティの側面についても検討するのがおすすめ。
TENPiNは株式会社ロジック・ブレインが提供しているCRMツールです。TENPiNを活用することで、商談履歴、スケジュール管理、顧客情報管理ができます。
それだけでなく、顧客の個性や性格・意思決定の傾向を100万人のデータベースから導き出すことで、コミュニケーションの最適化が可能となり、売上向上が期待できます。
TENPiNの開発及びサポートを行う株式会社ロジック・ブレインは、情報セキュリティに関する国際規格のISO/IEC 27001(情報セキュリティマネジメントシステム)を取得しているため、セキュリティの面からも安全といえるでしょう。
TENPiNに関しては、下記より確認してください。
まとめ
今回の記事では、顧客情報が漏えいした時の対応と、漏えいさせないためにできることについて下記の項目を中心に解説しました。
・顧客情報の漏えいを最小限に食い止めるには初動対応が鍵
・【原因別】顧客情報(個人情報)漏えい時の対応
・顧客情報が流出しないようにするためにできること
顧客のニーズを把握し、より良いサービスを提供するためには、顧客情報の活用が欠かせません。しかしその一方で、顧客情報には個人情報が含まれるため、漏えいした際には個人情報保護法に則った適切な対応が欠かせません。
この機会に、万が一の事態に備えて準備しておきましょう。