法律相談
月刊不動産2022年3月号掲載
個人情報を漏えいさせた場合の取扱い
弁護士 渡辺 晋(山下・渡辺法律事務所)
Q
個人情報保護法が改正され、個人情報を漏えいさせた場合には、個人情報保護委員会に報告をしなければならなくなったと聞きました。どのような法改正があったのでしょうか。
A※記事の内容は、掲載当時の法令・情報に基づいているため、最新法令・情報のご確認をお願いいたします。
-
1. はじめに
令和2(2020)年6月に個人情報保護法が改正され(令和2年改正)、令和4(2022)年4月に全面施行されます(附則1条)。この改正によって、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態(漏えい等)が生じたときは、その事態が生じた旨を個人情報保護委員会に報告することが、義務づけられました。
-
2. 個人情報保護委員会への報告の義務づけ
従来から、個人情報の漏えい、滅失、毀損など、個人データの安全確保に関する事態が生じた場合には、個人情報保護委員会に報告すべきものとされてはいましたが(平成29年個人情報保護委員会告示第1号「個人データの漏えい等の事案が発生した場合等の対応について」)、この報告義務は個人情報取扱事業者の努力義務にすぎませんでした。そのため、漏えい等の報告に関しては、必ずしも積極的な対応がなされているとはいえない状況にありました。漏えい等が発生しても個人情報取扱事業者側が公表をしなければ、個人情報保護委員会などにおいて、適切な方策を講じることができません。
そこで、令和2年改正により、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、規則で定めるところにより、その事態が生じた旨を個人情報保護委員会に報告しなければならないとして、報告が法的な義務とされました(個人情報保護法第26条)。 -
3. 報告が義務づけられる事態
報告が義務づけられるのは、次の事態が生じた場合です(個人情報保護法施行規則第7条)。
一 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態
二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがあ
る事態
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
四 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態 -
4. 報告事項
報告事項は、次のとおりです(個人情報保護法施行規則第8条)。
一 概要
二 漏えい等が発生し、または発生したおそれがある個人データの項目
三 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
四 原因
五 二次被害またはそのおそれの有無およびその内容
六 本人への対応の実施状況七 公表の実施状況
八 再発防止のための措置
九 その他、参考となる事項 -
5. 本人への通知
さらに、個人情報保護委員会への報告が義務づけられる事態が生じた場合には、個人情報取扱事業者は、本人に対し、状況に応じて速やかに、本人の権利利益を保護するために必要な範囲において、事態が生じた旨を通知することも義務づけられました(個人情報保護法第26条2項本文、個人情報保護法施行規則第10条)。本人への通知における通知事項は、事態の概要、漏えい等が発生し、または発生したおそれがある個人データの項目、原因、二次被害またはそのおそれの有無およびその内容、その他参考となる事項です。
ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、通知をしないでもよいこととされています(個人情報保護法第26条2項)。通知に代わるべき措置としては、事案の公表や、問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすることなどが想定されています(個人情報保護法ガイドライン(通則編))。