企業法務の資料室

個人情報漏えい時の対応(令和2年個人情報保護法改正を踏まえて)

 御社が保有する個人情報が漏えいしたとき、どのように対応すればよいのでしょうか。

 令和2年に改正された個人情報保護法では、個人情報が漏えいした際に事業者が取るべき義務が法定されました。この点に関する改正法の施行は令和4年(2022年)4月1日が予定されていますが、令和3年3月24日には個人情報保護委員会規則等も公布され、改正法の適用にあたっての具体化が進んでいます。

 

1  事業者は、何をしなければいけないのか。
 個人情報保護法の令和2年改正の内容は複数にわたっていますが、そのうち個人情報(*正確には「個人データ」ですが、本稿では分かりやすさのために「個人情報」として説明します。)の漏えいが発生したときの個人情報取扱事業者の義務として、①個人情報保護委員会への報告義務(改正法第22条の2第1項)、②本人への通知義務(同法同条第2項)が新たに規定されました。そして、この報告・通知義務違反に対し、委員会が勧告、命令、違反事実の公表等の処分をすることができることとされています(同法第42条)。
  現行法の下でも、個人情報取扱事業者は同様の報告・通知をすることが「望ましい」とされていましたが(「個人データの漏えい等の事案が発生した場合等の対応について」平成29年個人情報保護委員会告示第1号)、今回の改正法で法律上の義務として明記されました。

 

2 あらゆる漏えい事案を報告・通知しなければならないのか。
 委員会は、令和3年3月24日、改正した「個人情報の保護に関する法律施行規則」を公布しました。その改正規則によれば、報告・通知の対象となる漏えい事案とは
①要配慮個人情報が含まれるもの
②不正に利用されることにより財産的被害が生じるおそれがあるもの
③不正の目的をもって行われたおそれがあるもの
④本人の数が1000人を超えるもの
のいずれかに該当するものとされています(同規則第6条の2)。したがって、あらゆる漏えい事案ではなく、あくまで上記①から④のいずれかに該当する事案のみが、報告・通知義務の対象となります。

 

3 何を報告・通知しなければならないのか。
 報告の対象は、以下のとおり全部で9項目と定められており、その報告方法は原則として委員会へオンラインで報告することになっています(同規則第6条の3第1項、第3項)。
 ア 概要
 イ 漏えい等が発生し、又は発生したおそれのある個人データの項目
 ウ 当該個人データに係る本人の数
 エ 原因
 オ 二次被害又はそのおそれの有無及び内容
 カ 本人への対応の実施状況
 キ 公表の実施状況
 ク 再発防止のための措置
 ケ その他参考となる事項
 本人への通知対象は報告義務の対象よりも少なく、「当該本人の権利利益を保護するために必要な範囲において」、上記の9項目のうち、ア、イ、エ、オ及びケの5項目を通知することされています(同規則第6条の5)。委員会への報告事項と本人への通知事項を同一に考える必要はありません。

 

4 いつまでに報告・通知しなければならないのか。
 委員会への報告は、まず「速報」として、漏えい等の事態を知った後「速やかに」しなければなりません。この「速報」時には、上記の9項目のうち把握しているもののみを報告すれば足りますが(同規則第6条の3第1項)、原則として漏えい等の事態を知った後「30日以内」には、上記の9項目のすべてを「確報」として報告しなければなりません(同規則第6条の3第2項)。つまり、事業者は、速報した後に調査をしてその結果を報告することが期待されています。
 一方、本人への通知は、漏えい等の事態を知った後「当該事態の状況に応じて速やかに」しなければならないと規定されています(同規則第6条の5)。すなわち、事案によっては、委員会への「速報」通知と必ずしも同じタイミングでなくてもよいこととされています。

 

5 報告は個人情報保護委員会以外にしてはいけないのか。
 報告先は、原則として委員会です。ただ、一定の分野の業種に関しては、報告先が委員会ではなく主務大臣となります(同法第44条第1項)。具体的な分野や報告先については、委員会のHPにおいて今後公表されるものと思われます。
 なお、現行法の下では、認定個人情報保護団体も報告先の一つとして認められていましたが、改正法では認められていませんのでご注意ください。

 

6 本人の連絡先が不明な場合はどうするのか。
 例えば、個人情報の取得時には事業者が本人の連絡先を把握していても、漏えい時点での連絡先は知らない場合もあり得ます。このような場合には、「本人への通知が困難な場合」に該当すると思われるため、「本人への権利利益を保護するため必要なこれに代わるべき措置」を取ることで、通知義務が免除されます(改正法第22条の2第2項ただし書き)。この代替措置としては、事業者のHPでの公表等が考えられます。

 

7 改正法施行に向けた準備
 現在(2021年4月21日)、委員会では、改正法の適用範囲の更なる具体化のためガイドライン等を作成中であり、近日中に公表されるものと思われます。(*追記:2021年10月、個人情報の保護に関する法律についてのガイドライン(通則編)やそのQ&Aの改訂版が公表されました。)

 個人的には、事態の発生把握から30日以内に本当に「確報」が可能なのか、本人への通知時期や通知内容、さらに通知に代わる公表等についてどのように考えればよいのか、などが気になります。(*追記:上記ガイドラインによれば、確報を行う時点において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとする、とされました。)

 個人情報を保有する事業者としては、セキュリティ管理に一層気を付けるとともに、来るべき施行日までの間に、委員会から公表されるガイドライン等での具体化をにらみつつ、漏えい等の事態が万が一発生した場合の手順を確認しておくことが必要でしょう。(文責:中川真吾)
                                     

  • home
  • 企業法務の資料室