令和4年4月1日から施行される改正個人情報保護法について~個人データが漏えいした場合の対応について~

 いつも法律事務所Sのホームページをご覧いただきありがとうございます。弁護士の森です。令和2年6月12日に公布された改正個人情報保護法が、令和4年4月1日から施行されることになります。
 改正により、個人データの漏えい等が発生した場合に、個人の権利利益を害するおそれが大きい事態については、個人情報保護委員会への報告及び本人への通知をすることが義務化されました。本記事では、改正法のうち、個人データの漏えい等が発生した場合のルールを解説させていただきます。

1 報告や通知が必要となる事態とは?(個人情報保護法(以下、「法」といいます。)第22条の2、個人情報の保護
 に関する法律施行規則(以下、「規則」といいます。)第6条の2)
  ⑴ 要配慮個人情報が含まれる個人データの漏えい等
    →「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実そ
     の他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとし
     て政令で定める記述等が含まれる個人情報をいいます(法第2条3項)。
    ※本要件に該当するケース
      ex.病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
      ex.従業員の健康診断等の結果を含む個人データが漏えいした場合
  ⑵ 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
   →漏えい等した個人データを利用し、本人になりすまして財産の処分が行われる場合が想定されています。そのため、住所、電話番号、メールアドレス、SNSアカウントといった個人データのみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しないとされています。
    ※本要件に該当するケース
     ex.ECサイトからクレジットカード番号を含む個人データが漏えいした場合
     ex.送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
  ⑶ 不正の目的による個人データの漏えい等
     ※本要件に該当するケース
      ex.不正アクセスにより個人データが漏えいした場合
     ex.ランサムウェア等により個人データが暗号化され、復元できなくなった場合 
     ex.個人データが記載又は記録された書類・媒体等が盗難された場合
     ex.従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
  ⑷ 1000人を超える個人データの漏えい等
2 漏えい等とは
  個人データの漏えい、滅失若しくは毀損を指します。 
  また、上記の事態(漏えい等)が発生した場合のみならず、発生したおそれがある場合も含みます。
  そのため、漏えい等が発生したことの確証がない場合でも漏えい等が疑われる場合にも報告義務が生じます。
   ※漏えい:個人データが外部に流出すること。
  ※滅失:個人データの内容が失われること。
   ※毀損:個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること。
3 報告及び通知の対象
  〇個人情報保護委員会(報告)
  〇本人(通知)
4 何を報告する必要があるか?
  ⑴ 個人情報保護委員会への報告事項
   以下の事項を報告する必要があります(規則第6条の3第1項)。
    一 概要
    二 漏えい等が発生し、又は発生したおそれがある個人データの項目
    三 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
    四 原因
    五 二次被害又はそのおそれの有無及びその内容
      ex.クレジットカードの不正利用
      ex.ポイントサービスにおけるポイントの不正利用
      ex.漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信すること
    六 本人への対応の実施状況
    七 公表の実施状況
    八 再発防止のための措置
    九 その他参考となる事項
  ⑵ 本人への通知事項(規則第6条の5)
    本人への通知事項は⑴のうち四、五、九の事項に限られています。
5 いつまでに報告する必要があるか?
  ⑴ 個人情報保護委員会への報告は速報と確報があります(ガイドライン通則編3-5-3-3、規則第6条の3第2項)。
    ア 速報:上記事項を個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内に報告
      ※速報は、報告をしようとする時点において把握しているものだけ報告すれば足ります。
      ※個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準となります。
    イ 確報:当該事態を知った日から30日以内
      ※不正の目的によって個人データが漏えい等されたおそれのある場合に限っては、報告期限は60日以内とされています。
      ※速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができます。
  ⑵ 本人への通知は、当該事態の状況に応じて速やかに行う必要があります(規則第6条の5)。
      ※基本的に速やかに通知を行うことが求められていますが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断するとされています。
6 どのように報告するべきか?
  ⑴ 個人情報保護委員会への報告方法(規則第6条の3第3項)
    個人情報保護委員会のホームページの報告フォームに入力する方法により行います。
  ⑵ 本人への報告方法(規則第6条の5)
    本人へ通知する方法により行います。
    ※「本人への通知」とは、本人に直接知らしめることをいいますが、事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法による必要があります。
     ex.郵送、電子メール等
7 例外について
  ⑴ 個人データの委託先で漏えい等が発生した場合、委託先は委託元に当該事態が生じた旨を報告すれば個人情報保護委員会への報告義務を免れます(法第22条の2第1項但し書)。
  ⑵ 以下ようなの場合には、報告は不要とされています。
   ・個人データを第三者に閲覧されないうちに全てを回収した場合
   ・個人データが高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合
  ⑶ 本人への通知については、それが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、本人への通知は不要とされています(法第26条2項)。
    ※代替措置の例
     ex.事案の公表
     ex.問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
   ※事案の公表にあたっては、公表することでかえって被害の拡大につながることがないように留意する必要があります。

 以上が個人データの漏えい等が発生した場合の主なルールとなります。実際は、トラブルが発生した際に、個人データの漏えい等に当たるのかどうか、当たるとして実際にどのような対応をするべきか判断が難しい場合もありますので、弁護士に相談することをお勧めします。

 法律事務所Sでは事業者を強力にバックアップする顧問サービスを提供しております。
 ご質問があれば、こちらからお気軽にお問合せください。
 どうもありがとうございました。