長文スマソ

個人情報の保護に関する法律では、第二十条で、「個人データの安全管理の
ために必要かつ適切な措置を講じなければならない」と書かれているが、
内閣府のサイトにある解説を読むと、流出させないための措置で、流出後の
措置については明示されていない。

電気通信事業における個人情報保護指針では、第22条で、
個人情報の漏えいが発生した場合
・速やかに、当該漏えいに係る事実関係を本人に通知する。
・当該漏えい等に係る事実関係その他の二次被害の防止等に有用な情報を
 公表する。
と書かれているだけで、事業者自体が流出情報の発見消去等の対策までは
しなくてもいいような文面になっている。

今回の流出で、個々の流出該当者が、法的に何らかの保護を求めるとすると、
民法709条の不法行為に対する民事訴訟で、流出情報の発見消去および、
賠償金の請求をしなければならないということになる。

流出該当者がそういった行動に出る前に、KDDIが自発的にの納得のいく
対応をしてくれるのが一番いいことなんだけども。