個人情報漏洩保険の落とし穴｜企業保険ワンポイントアドバイス｜奥田雅也

個人情報漏洩保険の落とし穴

2005年に個人情報保護法が施行されてから、個人情報漏洩保険に関するニーズが非常に高まりました。

個人情報漏洩保険は、所有・管理している個人情報が漏洩した際に発生する被害者への賠償や諸費用を補償する保険です。
補償内容としては、漏洩被害者からの損害賠償に対応する補償と、漏洩事故発生に際して必要となる諸費用の補償の２つに分類されます。

この保険は、通販会社や会員組織を持つ企業など、個人情報を多数保有する企業だけでなく、Webシステムを構築するシステム開発会社など多くの企業で加入している保険です。

しかしながら、個人情報漏洩保険＝個人情報が漏洩すれば適用になる、と思っていると大間違いです。
個人情報漏洩保険に関する見落としがちなポイントを解説します。

１）所有・管理・管理を委託された個人情報が漏洩しないと補償されません
当たり前の事の様に思える内容ですが、個人情報漏洩保険はあくまでも個人情報を所有・管理または管理を委託されている企業が漏洩させた個人情報でないと保険の対象になりません。

ありがちなケースとしては、インターネット会員を多数抱えている企業A社から会員専用サイトの開発業務を受託したシステム開発会社B社が、B社社員のプログラムエラーにより、A社が保有している会員情報をWebサイト上で閲覧出来る状態になっていた様なケースです。

この場合、個人情報を所有・管理しているのはA社ですから、A社が個人情報漏洩保険に加入していれば保険適用になると思われます。

しかしB社が個人情報漏洩保険に加入していても、B社は個人情報を所有・管理していないので、保険の対象となりません。

ここで微妙になってくるのが、「管理の委託」という項目です。

保険会社が言う「個人情報の管理の委託」というのは、B社がｗｅｂサイト開発に際して締結した契約書上で、「個人情報はB社が管理する」と明言されている様なケースや、A社の会員情報をB社が管理するサーバーに格納している様なケースです。

この様に「管理の委託」を受けている場合であれば、B社が個人情報漏洩保険に加入していれば支払対象になると思われます。

では、個人情報を所有・管理・管理委託を受けていないシステム開発業者がシステム上のトラブルで個人情報を漏洩させてしまった場合、どのような保険が適用になるかと言えば、IT賠償責任保険が対象になると思われます。

ですので、想定したい事故を事前にしっかりと把握して、個人情報漏洩保険またはIT賠償責任保険のどちらが必要なのかを検討する必要があります。

２）第三者からみて情報が漏洩したという事が分かる状態である事

保険会社によっては、支払条件として「監督官庁や公共機関に個人情報が漏洩した事実を届け出している事」または「新聞・雑誌・テレビ・ホームページ等で漏洩した事実を公表している事」を挙げている保険会社があります。

ありがちなケースとしては、漏洩した個人情報が数件程度であった場合で、漏洩した個人情報による被害が認められずに、さらには漏洩された人も納得している様なケースで、公表せずに内々に処理をしてしまう場合です。

この様な場合でも、漏洩した人へのお詫びや対応をコンサルタントに相談した場合には諸費用が発生します。

この諸費用を保険で適用させるには、先ほどあげた支払条件に該当しなければなりません。

要するに保険会社から見れば、公表も届出もしていない個人情報漏洩事故は「本当に発生したのか？」と疑問を持たざるを得ない状態である為に、第三者からみて「情報漏洩があった」と思われる様な状態である必要があります。

ただし、この規定は保険会社によって微妙に違いますので、事前に保険約款等で詳細を確認しておく必要があります。

毎年、数件の個人情報漏洩事故があり、対応している中でよく起きるトラブルをまとめました。

参考にして頂ければ幸いです。