当事務所のHPはこちらです。https://ambitious.gr.jp/

【個人情報保護法3】改正個人情報保護法の要点2

この記事は約5分で読めます。

1.はじめに

 第1回では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)がどのような法律なのかを概観し、第2回では、改正個人情報保護法の全体像を確認するとともに、「個人の権利の在り方」の内容を深堀してご説明いたしました。

 今回は、事業者の皆様にとって本丸となる「事業者の守るべき責務の在り方」のうち、実務的な影響が特に大きい「個人情報保護委員会への報告及び本人への通知」をご説明いたします。

2.個人情報保護委員会への報告及び本人への通知

(1)個人情報保護委員会への報告及び本人への通知の義務化

 旧法は、個人データの漏えい等が発生した場合に、具体的な対応を義務付ける定めがありませんでした。そのため、個人情報保護委員会は、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)(以下「本告示」といいます)を告示し、個人情報保護委員会への報告をするよう努めると定めていました。しかし、本告示は努力義務にとどまり、法的義務はなかったため、実際に個人情報保護委員会への報告がなされないこともありました。

 そこで、現行法は、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める個人データの漏えい等が発生した場合は、個人情報保護委員会への報告と本人への通知を義務づけることになりました。ここでは、①「漏えい等」とはどのような事態をいうのか、②「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める」漏えい等とはどのような事態をいうのか、③具体的にどのような事項を報告しなければならないのかを、順に確認していきましょう。

(2)漏えい等の考え方

 ア.ガイドライン通則編の改正

 過去の個人情報の保護に関する法律についてのガイドライン(通則編)(以下「旧ガイドライン通則編」といいます)では、「漏えい等」が具体的にどのような事態を意味するのかが具体的には示されていませんでした。

 そこで、現行の個人情報の保護に関する法律についてのガイドライン(通則編)(以下「現行ガイドライン通則編」といいます)では、「漏えい」「滅失」「毀損」について、次のとおり具体的に示されることになりました。

 イ.漏えい

 「漏えい」は、個人データが外部に流出することをいいます。具体例として、①個人データが記載された書類を第三者に誤送付した場合、②個人データを含むメールを第三者に誤送信した場合、③システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合、④個人データが記載又は記録された書類・媒体等が盗難された場合、⑤不正アクセス等により第三者に個人データを含む情報が窃取された場合が挙げられています。なお、第三者に閲覧されないうちに全てを回収した場合は、漏えいには該当しないとされています。

 ウ.減失

 滅失は、個人データの内容が失われることをいいます。具体例として、①個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合、②個人データが記載又は記録された書類・媒体等を社内で紛失した場合が挙げられています。なお、同じデータが他に保管されている場合や、合理的な理由により削除する場合は、該当しないとされています。

 エ.棄損

 「毀損」は、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます。具体例として、①個人データの内容が改ざんされた場合、②暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合、③ランサムウェア等により個人データが暗号化され、復元できなくなった場合が挙げられています。なお、同じデータが他に保管されている場合は、該当しないとされています。

(3)個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める漏えい等

 個人データの漏えいが「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める」漏えいに該当する場合は、個人情報保護委員会への報告と本人への通知をしなければならないとされています(現行法26条1項)。したがって、個人データの漏えい等の全てについて、対応が義務付けられているものではありません。

 それでは、どのような場合に対応が必要になるのでしょうか。個人情報保護法施行規則(以下「施行規則」といいます)では、具体的に以下の4つの場合が定められています(施行規則7条各号)。

 ア.要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)

 具体的には、①病院における患者の診療情報や調剤情報を含む個人データを記録した USB メモリーを紛失した場合、②従業員の健康診断等の結果を含む個人データが漏えいした場合が挙げられています。

 イ.不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)

 具体的には、①EC サイトからクレジットカード番号を含む個人データが漏えいした場合、②送金や決済機能のあるウェブサービスのログイン ID とパスワードの組み合わせを含む個人データが漏えいした場合が挙げられています。

 ウ.不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)

 具体的には、①不正アクセスにより個人データが漏えいした場合、②ランサムウェア等により個人データが暗号化され、復元できなくなった場合、③個人データが記載又は記録された書類・媒体等が盗難された場合、④従業者が顧客の個人データを不正に持ち出して第三者に提供した場合が挙げられています。

 エ.個人データに係る本人の数が1000人を超える漏えい等(又はそのおそれ)

(4)個人情報保護委員会への報告事項

 個人情報保護委員会への報告は、まず「速報」をした上で(施行規則8条1項)、その後「確報」をしなければなりません(施行規則8条2項)。

 まず、速報では、漏えい等の発生から概ね3~5日を目途に、①概要、②個人データの項目、③個人データに係る本人の数、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑥本人への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項が報告事項とされています。ただし、把握できていない事項は、確報で報告することができます。

 次に、「確報」では、漏えい等の発生から原則30日以内に、上記の①~⑨の各事項を報告しなければなりません。

 報告の際に、具体的にどのような内容を記載するかは、専門家にも相談のうえ準備を進めてください。

 
4.最後に

 今回は、「事業者の守るべき責務の在り方」のうち「個人情報保護委員会への報告及び本人への通知」に関する改正ついて、深堀してご説明いたしました。次回は、「事業者の守るべき責務の在り方」のうち「不適正な利用の禁止」や「データ利活用に関する施策の在り方」を中心にご説明いたします。


弁護士 田上 淳一