企業において、個人情報の漏えいが発生した場合、どこに報告しなければならないでしょうか。そもそも、報告をする義務はあるのでしょうか。個人情報の漏えいの際の対応について、解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
第2 個人情報の漏えい等が発生した場合、報告義務はある?
個人情報保護法は、2020年に改正されましたが、この改正前は、個人データの漏えい等が発生した際には、個人情報保護委員会に「速やかに報告するよう努める」と告示されていたにすぎませんでした。つまり、法律上の義務とはされていませんでした。
そのため、漏えい等が発生したときに、個人情報保護委員会に報告をしなかったとしても、特段の不利益はありませんでした。
ところが、2020年の改正後の個人情報保護法では、個人の権利利益の侵害のおそれが大きい事態として法律に規定されているものについては、個人情報保護委員会への報告が義務となるという、大きな変更がありました。
第3 どのような場合に、報告義務が生じるか
1 報告の対象となる事態
個人情報の漏えい等の報告義務が生じるのは、次の(1)から(4)までに掲げる事態を知ったときとなります。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないように、その取扱いに特に配慮を要する記述などが含まれる個人情報をいいます。
例えば、健康診断の結果が含まれる個人データが漏えいした場合には、これに該当することになります。
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
例えば、顧客のクレジットカードの情報が含まれる個人データが漏えいする、送金に使うことができるIDとパスワードが漏えいするといった場合には、財産的被害が生じるおそれがあると考えられます。
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
不正の目的をもって行われる漏えいは、悪意のある第三者によるものが典型的です。
もっとも、自社の従業員が、顧客データを不正に持ち出すといったことも考えられます。そのような場合にも、報告義務の対象となる事態に該当します。
(4)個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
ここでは、漏えい等が生じた個人データにおける本人の数が問題となります。
漏えい等の事態が発覚した当初は1000人以下であっても、その後に 1000人を超えてしまった場合には、1000人を超えた時点で「個人データに係る本人の数が1000人を超える漏えい等が発生」したことになります。
また本人の数が確定できない漏えい等においても、漏えい等が発生したおそれがある個人データに係る本人の数が、最大で1000人を超える場合には、「個人データに係る本人の数が1000人を超える漏えい等が発生したおそれがある事態」に該当することになります。
2 漏えい時の報告の義務を負うのは誰か
漏えい等の報告をする義務を負うのは、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う企業や法人(個人情報取扱事業者)となります。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになります。したがって、原則として委託元と委託先の双方が、報告する義務を負います。この場合、委託元及び委託先の連名で報告することができます。
なお、委託先が、報告義務を負っている委託元に対して、当該事態が発生したことを通知したときは、委託先は報告義務を免除されます。
3 どのような内容を報告する必要があるか
個人情報保護法施行規則では、個人情報保護委員会への報告に関して、「速報」と「確報」の二段階に分けて、報告期限や報告内容が定められています。
(1)速報
個人情報取扱事業者は、報告の対象となる事態を知ったときは、「速報」として、速やかに個人情報保護委員会に対して、以下の内容を報告しなければなりません。
「速やかに」とは、目安としておおよそ3~5日以内が想定されています。
①概要
発生した事態の概要について、発生日、発覚日、発生事案、発見者、上記の各号のうちどれに該当するか、委託元及び委託先の有無、事実経過などを報告します。
②漏えい等が発生し、又は発生したおそれがある個人データの項目
漏えい等が発生した(又は発生したおそれがある)個人データの項目について、媒体や種類(顧客情報なのか従業員情報なのか等)とともに報告します。
③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
漏えい等が発生した(又は発生したおそれがある)個人データに係る本人の数を報告します。
④原因
そのような事態が発生した原因について報告します。報告者又は委託先のどちらにおいて発生したのかについても報告します。
⑤二次被害又はそのおそれの有無及びその内容
生じた事態に起因して発生する被害又はそのおそれの有無、内容について報告します。
⑥本人への対応の実施状況
事態を知った後、本人に対して行った措置や通知の実施状況について報告します。
⑦公表の実施状況
事態の公表の実施状況について報告します。
⑧再発防止のための措置
漏えい等事案の再発防止措置について、すでに実施したものと、これから実施する予定のものを分けて報告します。
⑨その他参考となる事項
上記の①~⑧の他、事態を把握する個人情報保護委員会にとって参考となる事項があれば、報告します。
なお、速報時点での報告内容については、報告する時点において把握している内容を報告すれば足ります。
(2)確報
個人情報取扱事業者は、報告の対象となる事態を知ったときは、上記の速報に加え、30日以内に個人情報保護委員会に報告しなければなりません(不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態が認められる場合には、60日以内となります。)。
この30日以内(又は60日以内)は報告の期限であり、より早く報告することが望ましいとされています。また、速報の時点で全ての事項を報告できる場合には、一度の報告で、速報と確報を兼ねることもできます。
確報においては、上記の(1)に記載した①~⑨の事項の全てを報告しなければなりません。
もっとも、確報を行う時点において、合理的な努力を尽くしてもなお、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、残りの事項は判明次第、追完の形で報告することになります。
第4 最後に
2020年の個人情報保護法の改正により、個人の権利利益が侵害されるおそれの大きい漏えい等の事態については、個人情報保護委員会への報告が義務付けられることになりました。
報告義務が課されるほどの重大な漏えい等が発生すると、マスコミ報道やインターネット上での拡散などによって、企業にとって致命的なダメージとなる可能性すらあります。
また、個人情報保護委員会への報告以外にも、本人への通知など、さまざまな対応が必要となります。
個人情報の漏えい等の事案についてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、17名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。
