コラム「個人データの漏えい等と法改正について」
令和4年4月1日に、改正個人情報保護法が施行されました。
1 個人データ漏えい等の場合の報告及び通知義務について
法改正後は、個人データの漏えい、滅失若しくは毀損(以下「漏えい等」といいます。)に関する以下の(1)~(3)に挙げる場合において、個人情報保護委員会への報告及び漏えい等の対象となった本人への通知が、個人情報取扱事業者に義務付けられます。
(1)情報の内容による分類
・要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある場合
要配慮個人情報とは、本人の信条、病歴、犯罪の経歴等、本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要する個人情報をいいます。
例えば、従業員の健康診断の結果は要配慮個人情報に該当すると考えられています。
・不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある場合
「不正に利用されることにより財産的被害が生じるおそれがある個人データ」かどうかは、対象となった個人データの性質・内容等を踏まえ財産的被害が発生する蓋然性を考慮して判断されます。
例えば、クレジットカード番号を含む個人データや送金又は決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データは「不正に利用されることにより財産的被害が生じるおそれがある個人データ」と考えられています。
(2)漏えい等の手段による分類
・不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある場合
不正アクセスにより個人データが漏えいした場合が代表的ですが、従業者が顧客の個人データを不正に持ち出して第三者に提供した場合等、漏えい等を発生させた者が従業者である場合も含みます。
(3)漏えい等の件数による分類
・個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある場合
2 個人情報保護委員会への報告について
上記の漏えい等の発生又はそのおそれがあることを知ったとき、個人情報取扱事業者は、個人情報保護委員会へその旨報告しなければなりません。この報告として、以下の(1)速報と(2)確報を行わなければなりません。
(1)速報
上記各場合が生じたことを知った後速やかに行う報告です。「速やかに」とありますが、上記各場合が生じたことを知った時点から概ね3~5日以内に報告することが想定されています。
報告事項は、次のとおりですが、報告しようとする時点において把握していない事項の報告は不要です。
①漏えい等の概要
②漏えい等が発生し、又は発生したおそれがある個人データの項目
③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
④原因
⑤二次被害又はそのおそれの有無及びその内容
⑥本人への対応の実施状況
⑦公表の実施状況
⑧再発防止のための措置
⑨その他参考となる事項(他の行政機関等への報告状況等)
(2)確報
漏えい等があったことを知った日から30日以内(上記第1項⑶の場合は60日以内)に、上記①から⑨の各事項の全てを報告しなければなりません。当該報告を行う時点で、合理的努力を尽くしてなお一部の事項が判明しておらず、上記①から⑨の全ての事項を報告することができない場合は、その時点で把握している内容を報告し、判明次第報告を追完できるとされています。
3 本人への通知
「事態の状況に応じて速やかに」通知が必要とされていますが、例えば、漏えい等のおそれが生じたものの、事案がほとんど判明しておらずその時点で本人に通知したとしてもかえって混乱が生じるおそれがある場合に、上記速報が行われるべき時期より後に本人へ通知を行うことは認められます。
4 結語
以上のとおり、個人情報取扱事業者は、上記の漏えい等が発生し又はそのおそれがある場合、個人情報保護委員会への報告や通知を急がなければなりません。仮に、上記報告や通知を怠った場合は、個人情報保護委員会から上記報告又は通知を行う旨の勧告・命令の上、命令に反すると1年以下の懲役または100万円以下の罰金に処されます。
上記各事態の発生後速やかに対応できるように、事前に、対応する部署や対応の流れを確認するようにしてください。
弁護士 大山口鉄朗
2022年4月30日執筆