2020年6月5日、改正個人情報保護法が国会において可決・成立し、2022年4月1日より全面施行されています。
その改正の際に義務化された、個人情報の漏えい時の報告義務について、条文やガイドラインの内容を踏まえて解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
3 【参考】2020年に改正された個人情報保護法の内容
2020年に改正された個人情報保護法の概要は以下の通りです。
まず、個人の権利としては、利用停止・消去などの請求について、要件を緩和しました。その他の個人の請求権についても、開示方法や対象が広がりました。
一方で、データの利用・活用の観点からは、「仮名加工情報」を創設し、内部分析に限定する前提で、規制が緩和されました。
その他、法定刑の引き上げや、外国の事業者への個人データの提供に関する情報提供等、さまざまな法整備が行われました。
第2 個人データの漏えい等が発生した場合についての規定
1 改正前の規定
2020年の個人情報保護法の改正以前は、個人データの漏えい等が発生した際には、個人情報保護委員会に「速やかに報告するよう努める」と告示されていたにすぎませんでした。
告示であり、法律上の義務ではなかったため、たとえ漏えい等が発生したときに個人情報保護委員会に報告をしなかったとしても、特段の不利益はありませんでした。
2 改正後の規定
改正後の個人情報保護法では、個人の権利利益の侵害のおそれが大きい事態について、個人情報保護委員会への報告が義務付けられました。
第3 改正法の具体的な内容
1 報告の対象となる事態
個人情報取扱事業者は、次の(1)から(4)までに掲げる事態を知ったときには、個人情報保護委員会への報告をしなければなりません。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4)個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
ここでの漏えい等とは、漏えい、滅失、毀損といった事態を言います。
漏えいとは、個人データが含まれる書類やデータを第三者に誤って送付してしまう、誤ってインターネット上で閲覧可能な状態にしてしまう、不正アクセス等により個人データが盗まれてしまうといったものが考えられます。
(第三者に閲覧される前に、すべての個人データを回収できた場合には、漏えいには該当しません。)
滅失とは、個人データを誤って処分してしまったり、内部で紛失してしまうという状況が考えられます。
毀損とは、個人データが意図せず改ざんされてしまう、何らかの理由により暗号化された個人データが復元できなくなってしまうといった状況が考えられます。
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合など、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告する必要はありません。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述などが含まれる個人情報をいいます。
したがって、例えば、健康診断の結果が含まれる個人データが漏えいした場合には、これに該当することになります。
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
例えば、顧客のクレジットカードの情報が含まれる個人データが漏えいする、送金に使うことができるIDとパスワードが漏えいするといった場合には、財産的被害が生じるおそれがあると考えられます。
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
不正の目的をもって行われる漏えいは、悪意のある第三者によるものが典型的です。
もっとも、自社の従業員が、顧客データを不正に持ち出すといったことも考えられます。そのような場合にも、報告義務の対象となる事態に該当します。
(4)個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
ここでは、漏えい等が生じた個人データにおける本人の数が問題となります。
漏えい等の事態が発覚した当初は1000人以下であっても、その後に 1000人を超えてしまった場合には、1000人を超えた時点で「個人データに係る本人の数が1000人を超える漏えい等が発生」したことになります。
また本人の数が確定できない漏えい等においても、漏えい等が発生したおそれがある個人データに係る本人の数が、最大で1000人を超える場合には、「個人データに係る本人の数が1000人を超える漏えい等が発生したおそれがある事態」に該当することになります。
2 漏えい時の報告の義務を負うのは誰か
漏えい等の報告をする義務を負うのは、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者となります。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになります。したがって、原則として委託元と委託先の双方が報告する義務を負います。この場合、委託元及び委託先の連名で報告することができます。
なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されます。
3 どのようなことを報告する必要があるか
個人情報保護法施行規則では、個人情報保護委員会への報告に関し、「速報」と「確報」という形で、報告期限や報告内容が定められています。
(1)速報
個人情報取扱事業者は、報告の対象となる事態を知ったときは、速やかに、個人情報保護委員会に対して、以下の内容を報告しなければなりません。
①概要
発生した事態の概要について、発生日、発覚日、発生事案、発見者、上記の各号のうちどれに該当するか、委託元及び委託先の有無、事実経過などを報告します。
②漏えい等が発生し、又は発生したおそれがある個人データの項目
漏えい等が発生した(又は発生したおそれがある)個人データの項目について、媒体や種類(顧客情報なのか従業員情報なのか等)とともに報告します。
③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
漏えい等が発生した(又は発生したおそれがある)個人データに係る本人の数を報告します。
④原因
そのような事態が発生した原因について報告します。報告者又は委託先のどちらにおいて発生したのかについても報告します。
⑤二次被害又はそのおそれの有無及びその内容
生じた事態に起因して発生する被害又はそのおそれの有無、内容について報告します。
⑥本人への対応の実施状況
事態を知った後、本人に対して行った措置や通知の実施状況について報告します。
⑦公表の実施状況
事態の公表の実施状況について報告します。
⑧再発防止のための措置
漏えい等事案の再発防止措置について、すでに実施したものと、これから実施する予定のものを分けて報告します。
⑨その他参考となる事項
上記の①~⑧の他、事態を把握する個人情報保護委員会にとって参考となる事項があれば、報告します。
なお、「速やかに」とは、目安としておおよそ3~5日以内が想定されています。
また、速報時点での報告内容については、報告しようとする時点において把握している内容を報告すれば足ります。
(2)確報
個人情報取扱事業者は、報告の対象となる事態を知ったときは、上記の速報に加え、30日以内(不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態が認められる場合には、60日以内。)に個人情報保護委員会に報告しなければなりません。
この30日以内(又は60日以内)は報告期限であり、可能である場合には、より早期に報告することが望ましいとされています。また、速報の時点で全ての事項を報告できる場合には、一度の報告で、速報と確報を兼ねることもできます。
確報においては、上記の(1)に記載した①~⑨の事項の全てを報告しなければなりません。
もっとも、確報を行う時点において、合理的な努力を尽くしてもなお、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、残りの事項は判明次第、追完の形で報告することになります。
4 【参考】本人への通知
報告義務が課されるような漏えい等事案が発生した場合には、個人情報取扱事業者は、個人情報保護委員会への報告だけでなく、本人への通知も行う必要があります。
この本人への通知は速やかに行われなければなりません。具体的に通知を行う時点は、個別の事案に応じて、その時点で把握している事態の内容や、通知により本人の権利利益が保護される蓋然性、生じる弊害等を勘案して判断されます。
したがって、現時点で本人への通知をすると、かえって被害が拡大するおそれがある場合や、混乱が生じるおそれがある場合には、その時点では通知を行う必要はなく、その後の状況に応じて速やかに本人への通知を行うことになります。
なお、連絡先がわからない等の事情によって、本人への通知が困難な場合には、本人の権利利益を保護するために必要な代替措置(例えば、事案の公表、問い合わせ窓口の設置等)を講ずることによる対応が認められます。
第4 最後に
今回の改正法では、個人の権利利益が侵害されるおそれの大きい漏えい等の事態について、個人情報保護委員会への報告が義務付けられることになりました。
報告義務が課されるほどの重大な漏えい等が発生すると、場合によっては大きく報道されることもあります。迅速かつ適切に対応しなければ、企業にとって致命的なダメージとなる可能性すらあります。
個人情報の漏えい等の事案についてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。
