消費者と事業者の信頼の中心に
2025年9月1日
業務委託先における個人情報の漏えい等事案(漏えい等又はそのおそれのある事案)がたびたび発覚しています。サイバー攻撃の被害だけでなく、紛失等の人的ミス、あるいは内部不正等、様々な原因による事例があります。
全国で最大17万3千件の卒業アルバムデータ漏えい問題 特殊な業界の仕組みとは(TBS NEWS DIG 2025年5月7日)
個人情報が記載された資料の紛失について(令和7年5月30日)(北広島市 2025年6月3日)
ソフトバンク 業務委託先から個人情報13万7000件余が流出か(NHK NEWS WEB 2025年6月11日)
AGCポリマー建材業務委託先に不正アクセス、個人情報が特定の外部サイトでダウンロード可能な状態に(excite.ニュース 2025年08月13日)
個人情報の漏えい等事案が発覚した際は、特定の事態に該当する場合、個人情報保護委員会等への報告と本人への通知が義務付けられています。ただ、やや複雑な規定となっており、特に委託先で漏えい等事案が発生した場合の対応について迷われる場合も多いようです。
本ブログでは、個人情報の保護に関する法律についてのガイドライン(通則編)(以下、GL)より、委託先において個人情報の漏えい等又はそのおそれが発覚した場合の規定についてあらためて確認します。
まずは前提となる、漏えい等事案が発覚した場合に講ずべき措置について確認します。
個人情報保護法における漏えい等事案ですが、漏えい等又はそのおそれのある事案とされていますので注意が必要です(GL 3-5-2 漏えい等事案が発覚した場合に講ずべき措置)。
また、漏えい等には漏えいだけでなく滅失、毀損その他の個人データの安全の確保に係る事態が含まれています(GL 3-5-1 「個人データ」の「漏えい等」の考え方)。
・漏えい:個人データが外部に流出すること
・滅失:個人データの内容が失われること
・毀損:個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること
漏えい等事案が発覚した場合は、漏えい等事案の内容等に応じ、以下の5点について必要な措置を講じる必要があります(GL 3-5-2 漏えい等事案が発覚した場合に講ずべき措置)。
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤個人情報保護委員会への報告及び本人への通知
⑤個人情報保護委員会への報告及び本人への通知については、以下の報告対象事態に該当する場合は義務となります。
なお、事案の内容等に応じて、二次被害の防止等の観点から、事実関係や再発防止策等について速やかに公表することが望ましいとされています。
報告対象事態は以下の通りです。ガイドラインには具体的な事例も示されています(GL 3-5-3-1 報告対象となる事態)。
①要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ※の漏えい等が発生し、又は発生したおそれがある事態
④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
※当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。
なお、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しないとされています。
基本的には個人情報保護委員会への報告となりますが、個人情報保護委員会が権限の委任を行っている業種については所管の府省庁になります(GL 3-5-3-3 速報、3-5-3-4 確報)。
速報と確報、2回の報告が必要となります。特に速報については、遅延が生じないよう注意が必要です。
〇速報:報告対象事態を知ったとき速やかに(発覚から概ね 3~5日以内)
〇確報:30日以内。不正の目的をもって行われたおそれがある場合は60日以内
速報、確報ともに、以下の事項を報告する必要があります。報告は原則として個人情報保護委員会のホームページの報告フォームに入力する方法により行います。速報については、その時点において把握している内容を報告すれば問題ないとされています。
報告対象事態に該当する場合、本人への通知も義務となります(GL 3-5-4 本人への通知)。
報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行う必要があります。具体的なタイミングは、事案ごとに以下のような点等を勘案して判断する必要があるとされています。またガイドラインには、その時点で通知を行う必要があるとはいえないと考えられる事例もあげられています(GL 3-5-4-2 通知の時間的制限 )。
本人に通知するべき内容は以下の 5点になります。ただし、全ての事項が判明するまで本人への通知をする必要がないというものではなく、「当該事態の状況に応じて速やかに」行う必要があるとされています。また、本人への通知は「本人の権利利益を保護するために必要な範囲において」行うものである旨が示されています(GL 3-5-4-3 通知の内容)。
本人への通知が困難な場合は、代替措置による対応が認められます(GL 3-5-4-5 通知の例外)。
【本人への通知が困難な場合に該当する事例】
①保有する個人データの中に本人の連絡先が含まれていない場合
②連絡先が古いために通知を行う時点で本人へ連絡できない場合
【代替措置に該当する事例】
①事案の公表
②問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
委託先において報告対象事態が発生したときは、委員会報告、本人通知ともに、原則は委託元と委託先双方が実施する義務を負います。ただし委託先については、必要事項を委託元に通知したときは、報告・通知義務が免除されます。
実務上の注意点としては、サイバー攻撃の被害、紛失等の事案では、個人情報の漏えい等の事実を確認することは難しいことが多く、漏えいのおそれが発覚したにとどまる状態が続くケースが多いことです。
先述の通り、漏えい等事案には、漏えいのおそれのある事案も含まれるため、おそれが発生した時点で、委託先は速やかに委託元に報告するべきと言えます。委託元としては、そうした対応について事前に委託先と確認しておく、委託契約に反映しておくといった対応が望ましいと思われます。
原則として委託元と委託先の双方が委員会報告の義務を負います。この場合、委託元及び委託先の連名で報告することができます(GL 3-5-3-2 報告義務の主体)。
委託先については、個人情報保護委員会への報告で求められる報告事項9点のうちその時点で把握しているものを委託元に通知したときは、報告義務が免除されます。委託先から委託元への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければなりません。(GL 3-5-3-5 委託元への通知による例外)。
「速やか」の日数の目安については、個別の事案によるものの、委託先が当該事態の発生を知った時点から概ね3~5日以内である、とされています。
この場合、委託先から通知を受けた委託元が報告をすることになりますが、委託元については、通常、遅くとも委託先から通知を受けた時点で報告対象事態を知ったこととなり、速やかに報告を行う必要があります。
なお、委託先は、委託元からの委員会報告について、必要に応じて委託元に協力することが求められます。
原則として委託元と委託先の双方が本人通知の義務を負います(GL 3-5-4-1 通知対象となる事態及び通知義務の主体)。
ただし委託先については、個人情報保護委員会への報告で求められる報告事項9点のうちその時点で把握しているものを委託元に通知したときは、通知義務が免除されます。なお、委託元への通知を行った委託先は、必要に応じて委託元による本人への通知に協力することが求められます(GL 3-5-4-1 通知対象となる事態及び通知義務の主体)。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。