16 行政対応, 情報セキュリティ, 個人情報保護法, 外食

はじめに

タリーズコーヒージャパン株式会社は、10月３日、同社が運営するオンラインストアに対する第三者からの不正アクセスにより、9万人以上の個人情報が流出したおそれがあるとの調査結果を発表しました。
漏洩した情報の中には、5万件以上のクレジットカード情報も含まれている可能性があるということです。

タリーズコーヒージャパンは、今年5月30日に不正アクセスの被害を公表し、以後、調査に乗り出していました。

タリーズオンラインサイトに不正アクセス

不正アクセスが発覚するまでの経緯とその後の対応は以下のとおりです。

(1)今年5月20日、警視庁より、タリーズコーヒージャパンが運営するオンラインサイト「タリーズオンラインストア」を利用した客のクレジットカード情報が漏洩している可能性などを指摘される。指摘を受け、タリーズコーヒージャパンは、カード決済をすぐに停止。
(2)5月23日、オンラインストア自体を一時閉鎖する。
(3)情報漏洩の可能性があったため、5月30日、会社ホームページやメディアを通じて発表を行う。
(4)その後、会社は第三者調査機関にフォレンジック調査を依頼し、被害状況の調査を実施。
(5)調査の結果、これまでに会員登録を行った約9万2000人の氏名、住所、電話番号などの個人情報が流出したおそれがあること、また漏洩した情報には2021年7月20日～2024年5月20日の期間に「タリーズオンラインストア」で使用された約5万2,000人のクレジットカードの番号や有効期限の情報も含まれている可能性があることなどが判明する。

今回の調査結果を受け、タリーズコーヒージャパンではクレジットカード会社とともに不正利用の履歴がないか確認していますが、利用客にも身に覚えのない請求がないかを確認するよう呼びかけています。

不正アクセス被害が急増、個人情報漏洩時の企業の法的対応は？

近年、急増する不正アクセス。警視庁の発表によると、昨年の全国での不正アクセス認知件数は、前年から約3倍の6,312件に上ったといいます。
大手企業が不正アクセスによる情報漏洩を発表するケースも珍しくなく、もはやどの企業にとっても他人事ではありません。

では、不正アクセスなどにより個人情報の漏洩が発覚した場合、企業は法的にどのような対応をとればよいのでしょうか？

この点、2024年4月1日から改正個人情報保護法施行規則が施行されており、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、「個人情報保護委員会への報告」及び「本人」への通知が義務づけられています。

報告が必要なケースとして、以下の4つが挙げられています（個人情報保護法施行規則第7条）。

(1)要配慮個人情報が含まれる事態
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴など、不当な差別や偏見その他の不利益が生じないよう、その取扱いに特に配慮を要するものとして定められている個人情報が漏えいしたケースなどが当てはまります。

(2)財産的被害が生じるおそれがある事態
例えば、ECサイトからクレジットカード番号を含む個人データが漏えいしたケース、ネットバンキングのIDやパスワードなどが漏えいしたケースなどです。

(3)不正の目的をもって行われた漏えい等が発生した事態
こちらは、例えば、従業者が顧客の個人データを不正に持ち出して第三者に提供したケースや、不正アクセスで個人データの漏えいが認められたケースなどが該当します。

(4)1,000人を超える漏えい等が発生した事態
例えば、サイトの設定ミスで個人データの閲覧がネット上で可能な状態となり、1000人を超える個人データの漏洩等が発生したケースなどです。

ちなみに、この「1000人超」という基準ですが、漏洩が発覚した当初1,000人以下でも、その後1,000人を超えた場合には、超えた時点で報告が必要となります。
また、漏洩した個人データに係る人数が確定できない場合でも、漏洩したおそれのある人数が最大1,000人を超えるときには、同じく報告が必要となります。

今回のタリーズコーヒージャパンの事案は、(2)、(3)、(4)の3つが当てはまる重大な事案といえます。

個人情報保護委員会によりますと、2023年度に報告された漏えい等の件数は12,120件だったということです。2022年度は7685件となっており、前述の不正アクセスの件数と相まって、急激な増加傾向にあるといえます。

漏洩が発覚した直後には、どのような情報が外部に漏れているのか、その実態把握が難しいことが少なくありません。迅速に調査を進めつつ、分かる範囲で個人情報保護委員会に報告をすることが望ましい対応となります。

情報セキュリティリスクが急速に高まっている昨今、個人情報を預かる企業としては、セキュリティを強化しつつ、データが漏洩した際の対策を講じておくことが重要です。

メルマガ会員登録

新着情報

ニュース
コロナ社にカヤバ社、下請業社への金型無償保管で公取委が勧告／23年以降15件目2025.4.28
契約法務コンプライアンス下請法メーカー
NEW
金型保管をめぐる下請法違反の事例が相次いでいます。暖房機器などの製造・販売を行う「株式...

業務効率化
LAWGUE公式資料ダウンロード

業務効率化
ContractS CLM公式資料ダウンロード

まとめ
株主提案の手続きと対応まとめ2024.4.10
商事法務総会対応会社法
今年もまもなく定時株主総会の季節がやってきます。多くの企業にとってこの定時株主総会を問題無く無...

解説動画
- 奥村友宏　氏（LegalOn Technologies 執行役員、法務開発責任者、弁護士）
- 登島和弘　氏（新企業法務倶楽部　代表取締役…企業法務歴33年）
- 潮崎明憲　氏（株式会社パソナ　法務専門キャリアアドバイザー）
[アーカイブ]”法務キャリア”の明暗を分ける！5年後に向けて必要なスキル・マインド・経験
法務部組織
終了
視聴時間1時間27分

弁護士
片山優弁護士
労務法務コンプライアンス独禁法対応
オリンピア法律事務所
〒460-0002
愛知県名古屋市中区丸の内一丁目17番19号キリックス丸の内ビル5階

解説動画
- 斎藤誠(三井住友信託銀行株式会社ガバナンスコンサルティング部部長（法務管掌）)
- 斉藤航(株式会社ブイキューブバーチャル株主総会プロダクトマーケティングマネージャー)
【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦～インタラクティブなバーチャル株主総会とは～
終了
視聴時間1時間8分

セミナー
- 藤原鋭氏（西日本旅客鉄道株式会社　法務部　担当部長）
- 西﨑慶氏（西日本旅客鉄道株式会社　法務部）
- 藤原総一郎氏（長島・大野・常松法律事務所　マネージング・パートナー）
- 板谷隆平（MNTSQ株式会社　代表取締役/ 長島・大野・常松法律事務所　弁護士）
【2/19まで配信中】CORE 8による法務部門の革新：JR西日本に学ぶ「西日本No.1法務」へのビジョン策定とは
終了
2025/02/19
23:59～23:59