前提
クレジットカード会社甲はAに送るはずだったメールを間違って
同姓同名のBに送ってしまった。
上記が判明した理由は以下の通りです。
メールが来ないことを不思議に思ったAが甲に問い合わせたところ
甲が当初登録しているメールアドレスにメールを送ったと言って送信したメールアドレスを
教えてくれたがAは知らないメールアドレスで不思議に思ったが電話を切った。
後ほど甲からAに連絡があり、間違って同姓同名のBにメールを送ってしまった。
先ほど教えたメールアドレスはBのアドレスだったことを告げられる。
Aは甲からBに情報を悪用しない旨の連絡をするように伝えたところ、甲はBに既に、メールは間違って
送ったものだから破棄するように伝えたのでこれで大丈夫だ。変に悪用しないように忠告すると
余計に悪用できることにBが気づいてしまうのでこのまま放置しておいたほうが良いとのこと。
AはこれではBに忠告にならないので、教えてもらったアドレスにA自身が忠告のメールをする
と甲に伝えると、甲はそんなことをしたらAが個人情報を流出したことになるので絶対にやめた方が
良いとのこと
質問
1、そもそもBの個人情報を流出したのは甲ではないのか?
2、Bに情報を悪用しないようにAが直接メール連絡することに対してAにリスクはあるか?
3、甲がAに送るはずのメールをBに送ってしまったことについて、甲側のリスクはなにか?
4、Bのメールアドレスを教えてしまったこと自体は大した問題ではないのか?
5、その他気を付けることがあれば教えてください。
以上です。
よろしくお願い致します。
>1、そもそもBの個人情報を流出したのは甲ではないのか?
甲において、Bのアドレスは他のBの個人情報(氏名・住所など)
と紐づく形で管理していると思われますので、
Bのアドレスは個人情報に該当します。
ですので、甲は、個人情報を流出したといえます。
なお、どのようなメールをAに送ったのかについて内容
を見てみないとわかりませんが、おそらくメール内にAを
特定する情報も入っていると考えられますので、
甲は、Aの個人情報も流失したといえます。
2 ご質問②
>2、Bに情報を悪用しないようにAが直接メール連絡することに対してAにリスクはあるか?
Aに明確に法的なリスクが生じるか、
というとそういうわけではないと思います。
ただ、AはBの承諾のもとにBのアドレスを取得したものでは
ないので、Bからすれば、赤の他人のAから連絡が来るのは
気持ちの良いものではなく、メールを送ったことによりBとの間で
トラブルになる可能性は否めません。
ですので、これは控えられた方がよいと思います。
3 ご質問③
>3、甲がAに送るはずのメールをBに送ってしまったことについて、甲側のリスクはなにか?
具体的なリスクは、甲がBに送ったメールに記載されている内容によります。
たとえば、クレジットカード情報などが記載されているということであれば、
その情報がBに悪用され、それによりAに生じた損害の補償まで行わないと
いけなくなるというリスクがあります。
一方、その情報自体が悪用できるようなものでない、または、悪用されたとしても、
具体的なAの損害が生じ得るものではないということであれば、
甲のリスクはそれほど大したものではないといえます。
4 ご質問④
>4、Bのメールアドレスを教えてしまったこと自体は大した問題ではないのか?
ご質問①のとおり、個人情報の流出にはあたりますが、
その件数が1件であること、アドレス自体が悪用されたとしても、
生じる損害は微々たるもの(具体的な損害はそれほど想定できない)
と考えられることから、大した問題ではないともいえるかもしれません。
もちろん、個人情報を流出していますので、個人情報保護法20条の
安全管理措置義務違反の可能性はありますが、
今回のケースは1件について同姓同名で間違えてしまったということだけ
ですと、監督官庁が何かいうということはないでしょう。
ただ、個人情報流出の問題が騒がれている昨今、
企業としては、適切に対処すべき問題ではあります。
5 ご質問⑤
>5、その他気を付けることがあれば教えてください。
甲がBに送ったメールに、Aの重要な情報(悪用されると大きな損害が生じるような情報)
が記載されているということであれば、甲を介して、
Bがメールを消去したことの確認をもらっておくという対応がよいかと思います。
(甲はBに破棄するようには伝えたが、破棄したことまでの確認はとっていないと思われますので。)
その他、ログイン情報等が載っているのであれば、
甲のコストで全ての回復措置(不正利用の可能性を失くさせる措置)
を講じるように求めた方が良いでしょう。
よろしくお願い申し上げます。