今回は、個人情報保護法を勉強しようということで、個人データの漏洩等が発生した場合の対応について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
漏洩等事案が発覚した場合に講ずべき措置(通則ガイドライン3-5-2)
個人情報取扱事業者は、個人データの漏えい・滅失・毀損又はそのおそれのある事案(漏えい等事案)が発覚した場合は、漏えい等事案の内容等に応じて、
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 個人情報保護委員会への報告及び本人への通知(法26条)
について必要な措置を講じなければならない(通則ガイドライン3-5-2)。
個人情報保護員会への報告(法26条1項)
上記⑤に関しては、漏えい等事案のなかでも、個人の権利利益を害するおそれが大きいもの(報告対象事態)が生じたときは、個人情報保護員会への報告及び本人への通知が必要であるとされている(法26条)。
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。…(略)…
2 前項に規定する場合には、個人情報取扱事業者…(略)…は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。…(略)…
これは、上記①~④まではあくまでもガイドライン上の指針であるのに対し、上記➄に関しては、報告対象事態に限っては委員会への報告と本人への通知が法的義務であることを明確化したものである。
▷参考サイト:漏えい等報告・本人への通知の義務化について|個人情報保護委員会HP
どのような場合に報告が必要かー報告対象事態(施行規則7条)
報告対象事態は、施行規則7条に定められている。以下の1号~4号までがある。
▽施行規則7条
(個人の権利利益を害するおそれが大きいもの)
第七条 法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
なお、4号については、事態が発覚した当初は 1,000 人以下であっても、その後 1,000人を超えた場合には、1,000 人を超えた時点で4号に該当するとされている(通則ガイドライン3-5-3-1)。
具体例としては、以下のようなものが挙げられている(通則ガイドライン3-5-3-1)。
| 報告対象事態 | 具体例 |
|---|---|
| 要配慮個人情報が含まれる個人データの漏洩等が発生または発生したおそれがある事態(1号) | ・病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合 ・従業員の健康診断等の結果を含む個人データが漏えいした場合 |
| 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等が発生または発生したおそれがある事態(2号) | ・ECサイトからクレジットカード番号を含む個人データが漏えいした場合 ・送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合 |
| 不正の目的をもって行われたおそれがある個人データの漏洩等が発生または発生したおそれがある事態(3号) | ・不正アクセスにより個人データが漏えいした場合 ・ランサムウェア等により個人データが暗号化され、復元できなくなった場合 ・個人データが記載又は記録された書類・媒体等が盗難された場合 ・従業者が顧客の個人データを不正に持ち出して第三者に提供した場合 |
| 個人データの数が1,000人を超える漏洩等が発生または発生したおそれがある事態(4号) | ・システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000 人を超える場合 |
何を報告するかー報告事項(施行規則8条1項各号)
報告事項は、規則8条1項で1号~9号まで定められており、
- 概要
- 報告対象事態の概要について、発生日、発覚日、発生事案、発見者、規則第7条各号該当性、委託元及び委託先の有無、事実経過等を報告する
- 漏えい等が発生又は発生したおそれがある個人データの項目
- 個人データの項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する
- 漏えい等が発生又は発生したおそれがある個人データに係る本人の数
- 個人データに係る本人の数について報告する
- 原因
- 報告対象事態が発生した原因について、その事態が発生した主体(報告者又は委託先)とともに報告する
- 二次被害又はそのおそれの有無及びその内容
- 報告対象事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する
- 本人への対応の実施状況
- 報告対象事態を知った後、本人に対して行った措置(通知を含む)の実施状況について報告する
- 公表の実施状況
- 報告対象事態に関する公表の実施状況について報告する
- 再発防止のための措置
- 漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する
- その他参考となる事項
- 上記の①から⑧までの事項を補完するため、個人情報保護委員会が報告対象事態を把握する上で参考となる事項を報告する
となっている。
条文も確認してみる。
▽施行規則8条1項各号
(個人情報保護委員会への報告)
第八条 個人情報取扱事業者は、法第二十六条第一項本文の規定による報告をする場合には、…(略)…当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
一 概要
二 漏えい等が発生し、又は発生したおそれがある個人データの項目
三 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
四 原因
五 二次被害又はそのおそれの有無及びその内容
六 本人への対応の実施状況
七 公表の実施状況
八 再発防止のための措置
九 その他参考となる事項
いつまでに報告するかー報告期限(施行規則8条)
個人情報保護委員会への報告は、速報と確報の2段階に分かれていることがポイントである。
速報(1項)
まず、個人情報取扱事業者は、報告対象事態を知ったとき、速やかに報告しなければならない(速報)。
「知った」は、法人である場合はいずれかの部署が報告対象事態を知った時点であり、「速やか」の日数の目安については、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内とされている。もっとも、どちらについても個別の事案ごとの判断になる(通則ガイドライン3-5-3-3)。
速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りる(1項括弧書き)。
▽施行規則8条1項
(個人情報保護委員会への報告)
第八条 個人情報取扱事業者は、法第二十六条第一項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
一~九 (略)
確報(2項)
次に、個人情報取扱事業者は、報告対象事態を知ったときは、速報に加えて、30日以内又は60日以内に報告しなければならない(確報)。
確報においては、上記の報告事項①~⑨までに掲げる事項の全てを報告しなければならない。確報を行う時点において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとされている(通則ガイドライン3-5-3-4)。
速報の時点で全ての事項を報告できる場合は、速報と確報を兼ねることができる(通則ガイドライン3-5-3-4)。
▽施行規則8条2項
2 前項の場合において、個人情報取扱事業者は、当該事態を知った日から三十日以内(当該事態が前条第三号に定めるものである場合にあっては、六十日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。
どこに報告するかー報告先と報告方法(施行規則8条3項)
報告先は、基本的に個人情報保護委員会であるが、委員会が報告を受理する権限を事業所管大臣に委任している場合には、その委任先省庁に報告することになっている(この場合、委任先省庁から委員会に報告が行く)。
▷参考サイト:漏えい等の対応とお役立ち資料|個人情報保護委員会HP
報告先により、報告方法も若干異なっており、
- 個人情報保護委員会への報告
- 個人情報保護委員会HPにある報告フォームに入力する方法(「電子情報処理組織…を使用する方法」)
- 故障・災害等により上記の使用が困難な場合は、施行規則の別記様式第一による報告書を提出する方法
- 委任先省庁への報告
- 施行規則の別記様式第一による報告書を提出する方法
- 事業所管大臣が別途定めた方法がある場合は、その方法
となっている。
▽施行規則8条3項
3 法第二十六条第一項本文の規定による報告は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める方法により行うものとする。
一 個人情報保護委員会に報告する場合 電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と報告をする者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。以下この項において同じ。)を使用する方法(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては、別記様式第一による報告書を提出する方法)
二 法第百五十条第一項の規定により、法第二十六条第一項の規定による権限の委任を受けた事業所管大臣に報告する場合 別記様式第一による報告書を提出する方法(当該事業所管大臣が別に定める場合にあっては、その方法)
委託元への通知による報告義務の免除(法26条1項但書)
個人データの取扱いを委託している場合、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態が発生したときは、原則として委託元と委託先の双方が報告する義務を負う。この場合、委託元及び委託先の連名で報告することができる(通則ガイドライン3-5-3-2)。
ただし、委託先が、報告義務を負っている委託元に報告対象事態が発生したことを通知したときは、委託先は報告義務を免除される(法26条1項但書)。この場合、委託先から通知を受けた委託元が、個人情報保護員会に報告することになる。
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者…(略)…から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者…(略)…に通知したときは、この限りでない。
委託元への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければならない。
▽施行規則9条
(他の個人情報取扱事業者への通知)
第九条 個人情報取扱事業者は、法第二十六条第一項ただし書の規定による通知をする場合には、第七条各号に定める事態を知った後、速やかに、前条第一項各号に定める事項を通知しなければならない。
本人への通知(法26条2項)
個人情報取扱事業者は、報告対象事態を知ったときは、事態の状況に応じて速やかに、本人の権利利益を保護するために必要な範囲において、本人への通知を行わなければならない(法26条2項、規則10条)。
個人データの取扱いを委託している場合、委託先が、報告義務を負っている委託元に報告対象事態が発生したことを通知したときは、委託先は通知義務も免除される(2項括弧書き)。
▽法26条2項
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
▽施行規則10条
(本人に対する通知)
第十条 個人情報取扱事業者は、法第二十六条第二項本文の規定による通知をする場合には、第七条各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第八条第一項第一号、第二号、第四号、第五号及び第九号に定める事項を通知しなければならない。
本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものであり(規則10条参照)、例えば、
- 不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するに当たり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること
- 漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること
が具体例として挙げられている(通則ガイドライン3-5-4-3)。
本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応も認められている(2項但書)。
例えば、保有する個人データの中に本人の連絡先が含まれていない場合や、連絡先が古いために通知を行う時点で本人へ連絡できない場合に、事案の公表によったり、問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象になっているか否かを確認できるようにすることが、具体例として挙げられている(通則ガイドライン3-5-4-5)。
結び
今回は、個人情報保護法を勉強しようということで、個人データの漏洩等が発生した場合の対応について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)