顧客情報が流出した際の適切な対応について教えてください

被害拡大防止等の安全管理措置の実施をするとともに、重大な漏洩事案であれば、個人情報保護委員会への報告と本人への通知をする必要があります。

　
　流出したのは顧客情報なので、通常、検索性を備えた個人データベースから流出しているでしょうから、「個人データ」に該当するものと思われます。個人データが漏洩してしまった場合、個人情報保護法及びそのガイドラインに従って対処する必要があります。

①　安全管理措置の実施
（1）事業者内部における報告及び被害の拡大防止
　責任ある立場の者に直ちに報告します。また、例えば、流出させたと思しき従業員を顧客情報から遮断するなど、被害が拡大しないよう必要な措置を講じる必要があります。
（2）事実関係の調査及び原因の究明
　流出の経緯を把握します。フォレンジック業者に解析を頼むなど必要な措置をとります。
（3）影響範囲の特定
　「誰の、どのような個人データが、どこまで流出したのか」等の影響範囲を特定します。
（4）再発防止策の検討及び実施
　再発防止策の検討及び実施に必要な措置を講じることになります。
(5) 公表の検討
　漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表しましょう。

　①のほか、要配慮個人情報の漏洩、財産的被害、不正目的での漏洩、1000人超の漏洩が発生し、あるいは発生のおそれがある場合は、更に②③の措置をする必要があります。

②　個人情報保護委員会への報告
　個人情報保護委員会に対しては、速報と確報の２段階に分けて報告します。速報については、概ね事態の発覚から３〜５日以内であるとされています。個人情報保護委員会に報告のフォームがあるのでこれに入力していきます。

③　本人への通知
　本人通知にあたっては、その後の訴訟等も見据えて、特に経過や原因等については正確な記載をすることが重要です。どのような情報が含まれているのか／いないのか、例えばクレジットカード情報が含まれているのか否かなどは記載すべきでしょう。
　なお、常に本人通知が必須というわけではなく、かえって被害や混乱が生じるような状態であれば、通知を先延ばしすることが合理的なケースもあります。
　いずれにせよ、漏洩対応については、これをサポートできる弁護士に依頼して対応をすることをおすすめします。

（回答日：2026年2月27日）