法的リスクマネジメント応用問題
G社のウェブサイトに顧客の個人情報(氏名、住所、電話番号)が不正アクセスにより流出した。流出人数は200人であった。G社が講じるべき最初の法的対応の優先順位として、最も適切な順序はどれか。
A.個人情報保護委員会への報告→本人通知→流出原因の究明→再発防止策の策定
✗ 個人情報保護委員会への報告に法定期限はないが、本人通知は「可能な限り速やかに」実施する必要がある。本人通知を先行すべき。
B.再発防止策の策定→本人通知→個人情報保護委員会への報告→法的責任の検討
✗ 再発防止策は二次的対応。流出事実の究明と本人への迅速な通知が最優先である。
C.流出原因の究明→本人通知→個人情報保護委員会への報告→再発防止策の策定← 正解
✓ 正解です。まず原因究明し、本人に速やかに通知(個人情報保護法第34条)し、その後行政機関への報告と再発防止を進めるのが適切。
D.本人通知→個人情報保護委員会への報告→法的責任評価→外部コンサルティング
✗ 外部コンサルティングは有用だが、本人通知と行政報告が最優先。法的責任評価も同時進行で行うべき。