2022年10月26日
2022年4月の個人情報保護法の改正によって、漏えい等が発生等した場合に、特定の事態において
個人情報保護委員会への報告、及び本人への通知が義務化されました。
外部からの不正アクセスや内部の不正行為、メールの誤送信、パソコンの紛失等、漏えい等が発生する原因は
多岐に渡ります。事業で個人情報を取り扱っている以上、常に漏えい等の事故が発生するリスクが潜んでいると言えます。
今回は、改正となった点に留意しながら、個人情報の漏えい等事案への対応についてご説明いたします。
※本内容は個人情報の保護に関する法律についてのガイドライン(通則編)より作成しております。
ガイドライン に関するQ&Aの内容も参照しておりますが、その場合はQの番号を記載しております。
「漏えい」はイメージしやすいのですが、個人情報保護法での「漏えい等」には、「漏えい」の他に
「滅失」と「毀損」も含まれますのでご注意ください。改正により、ガイドラインに各定義が記載されました。
「漏えい」とは、個人データが外部に流出することをいいます。なお、以下の場合は漏えいに該当しないとされます。
1.個人データを第三者に閲覧されないうちに全てを回収した場合
2.個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合
実務的には 1が重要になるかと思います。漏えいの原因としてスマートフォンやパソコンを外出先等に置き忘れることが
多くなっていますが、そういった場合でも、すぐ回収でき閲覧されていなければ、漏えいには該当しないことになります。
「滅失」とは、個人データの内容が失われることをいいます。
【個人データの滅失に該当する事例】
1.個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合
2.個人データが記載又は記録された書類・媒体等を社内で紛失した場合(社外に流出した場合は漏えいに該当)
なお、上記の場合でも、同じデータが他に保管されている場合は滅失に該当しません。また、事業者が合理的な理由で
個人データを削除する場合も該当しません。
「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます。
昨今リスクが高まっているランサムウェアによる被害も「漏えい等」に該当することになります。
【個人データの毀損に該当する事例】
1.個人データの内容が改ざんされた場合
2.暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
3.ランサムウェア等により個人データが暗号化され、復元できなくなった場合
なお、上記事例2及び3の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しません。
漏えい等またはそのおそれは、社内のあらゆる場所で発生する可能性があります。
発覚した場合にそなえてあらかじめ、迅速に責任者に報告、連絡する体制を整備しておく必要があります。
ガイドライン(別添)講ずべき安全管理措置、組織体制の整備(組織的安全管理措置)において
「個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制」が措置の例示にあげられています。
また、体制の整備とともに社内規定の整備等が必要となります。(個人データの取扱いに係る規律の整備)
漏えい等又はそのおそれのある事案(「漏えい等事案」)が発覚した場合は、その内容等に応じて
以下の 1から 5に掲げる事項について必要な措置を講じなければなりません。
漏えい等事案には、漏えい等のおそれがある事案も含まれる点にも注意が必要です。
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
上記 2で把握した事実関係による影響範囲の特定のために必要な措置を講ずる。
上記 2の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる。
改正前は努力義務でしたが、改正により、報告対象事態が定められ、該当する場合は
個人情報保護委員会への報告、本人への通知が義務化されました。
なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、
事実関係及び再発防止策等について、速やかに公表することが望ましいとされています。
今回の法改正により、次の 1から 4の事態(報告対象事態)を知ったときは、個人情報保護委員会への報告と本人への通知が
義務化されました。
実務的には、まず漏えい等事案が発覚した場合の対応手順に、報告対象事態への該当の確認を追加する必要があるかと思います。
クレジットカード情報が典型的な例ですが、送金や決済機能のあるウェブサービスのログインIDとパスワード等も該当します。
不正アクセス等、外部の第三者が原因の場合だけでなく、従業員等による内部不正も対象になります。
なお、漏えい等事案の対象になった個人データについて、「高度な暗号化その他の個人の権利利益を
保護するために必要な措置」が講じられている場合については、報告を要しないとされています。
「高度な暗号化その他の個人の権利利益を保護するために必要な措置」として考えられるものとしては、
「適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている
暗号技術が用いられ、それが適切に実装されていること」があげられています(Q&A Q6-16)
個人情報保護委員会への報告が基本となりますが、
個人情報保護委員会が権限の委任を行っている業種については所管の府省庁になります。
また、個人データの取扱いを委託している場合においては、原則として委託元と委託先の双方が
報告する義務を負うことになりますが、委託先については、委託元に対して通知すれば報告義務を免除されます。
この場合、委託先から通知を受けた委託元が報告をすることになります。
速報と確報、2回の報告が必要となりますのでご注意ください。
報告対象事態を知ったとき速やかに(発覚から概ね 3~5日以内)報告しなければなりません。
所管の府省庁への報告となる場合も同様です。
報告期限の起算点となる「知った」時点については、法人の場合は、いずれかの部署が当該事態を
知った時点が基準となるとされています。また、部署内においても、個別の事案ごとに判断されると
されつつも、部署内のある従業者が知った時点であるという考え方が示されています。(Q&A Q6-21)
この点からも、組織内で速やかな報告、連絡を行うことが重要であると言えます。
速報に加えて、30日以内に個人情報保護委員会に報告しなければなりません。
不正の目的をもって行われたおそれがある場合は60日以内とされます。
なお、30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告する
ことが望ましいとされています。
速報と確報ともに、以下の事項を報告する必要があります。報告は原則として個人情報保護委員会の
ホームページの報告フォームに入力する方法により行います。
速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば
問題ありません。
1.概要
2.漏えい等が発生し、又は発生したおそれがある個人データの項目
3.漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
4.原因
5.二次被害又はそのおそれの有無及びその内容
6.本人への対応の実施状況
7.公表の実施状況
8.再発防止のための措置
9.その他参考となる事項
以上のように、個人情報保護委員会への報告については、実務的には対応するべきことが明確であると
言えるかと思います。
注意が必要なのは、速報の期限が、従業者が事態を把握してから概ね 3~5日以内と短いことです。
社内での報告、連絡体制を適切に機能させることが重要になります。
改正により、報告対象事態に該当する場合の本人への通知も義務化されました。
実務的には、恐らく個人情報保護委員会への報告以上に影響が大きいと考えられます。
本人の連絡先が分からなかったり、連絡先があっても電話番号や住所のみで、通知にコストがかかる
場合等も発生するかと思います。また、本人への通知が困難である場合は、代替手段として公表を
実施する必要があります。
報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行う必要があります。
「当該事態の状況に応じて速やかに」とありますが、速やかに通知を行わなければならないとされつつも、
具体的に通知を行う時点は、個別の事案ごとに、以下のような点等を勘案して判断しなければなりません。
・その時点で把握している事態の内容
・通知を行うことで本人の権利利益が保護される蓋然性
・本人への通知を行うことで生じる弊害等
ガイドラインには、その時点で通知を行う必要があるとはいえないと考えられる事例もあげられています。
【その時点で通知を行う必要があるとはいえないと考えられる事例】
1.インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者に
おいて当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、
かえって被害が拡大するおそれがある場合
2.漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、
本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合
本人に通知するべき内容は以下の 5点になります。
1.概要
2.漏えい等が発生し、又は発生したおそれがある個人データの項目
3.原因
4.二次被害又はそのおそれの有無及びその内容
5.その他参考となる事項
ただし、全ての事項が判明するまで本人への通知をする必要がないというものではなく、
「当該事態の状況に応じて速やかに」行う必要があるとされています。
本人への通知は、「本人の権利利益を保護するために必要な範囲において」行うものであることを
考慮し判断する必要があるかと思います。
本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置による対応が認められます。
なお「本人への連絡が困難である場合」ですが、複数の連絡先がある場合は、1つの連絡先で連絡がつかなかった
だけで直ちに該当するものではないとされていますのでご注意ください。(Q&A Q6-27)
【本人への通知が困難な場合に該当する事例】
1.保有する個人データの中に本人の連絡先が含まれていない場合
2.連絡先が古いために通知を行う時点で本人へ連絡できない場合
【代替措置に該当する事例】
1.事案の公表
2.問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
なお公表については、通知の代替手段としての実施というだけではなく、被害の防止、類似事案の
発生防止等の観点から、公表を行うことが望ましいとされています。公表すべき内容については、
個別の事案ごとに判断されますが、本人へ通知すべき内容を基本とするとされています。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。