特集
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

改正個人情報保護法施行規則とガイドライン・Q&Aを解説

IT・情報セキュリティ

目次

  1. 個人情報保護法施行規則およびガイドライン通則編の主な改正項目
  2. 「個人情報」と「個人データ」の違い
  3. 漏えい等発生時の報告等義務に関する改正
    1. 漏えい等発生時に報告等を要する4つのケース
    2. 報告等の義務が生じる具体的なケース
    3. 報告等の義務が生じるケースと生じないケース
    4. 委託先等の第三者に対する不正アクセス等によって生じた漏えい等も報告等の対象となる
    5. クラウドサービス事業者による代行報告
  4. 安全管理措置の対象に関する改正
  5. 保有個人データに関する事項の公表等に関する改正
  6. 事業者における実務対応
    1. プライバシーポリシーの改訂
    2. 社内規程(個人情報保護管理規程)の改訂
    3. 業務委託契約書の修正

 個人情報保護法施行規則が令和5年12月27日に改正され、令和6年4月1日付で施行されました。この改正に伴い、ガイドライン通則編やQ&Aも改訂されています。

 今回の改正では、①不正目的をもって行われたおそれがある漏えい等発生時における個人情報保護委員会への報告と本人への通知、②安全管理措置、③保有個人データに関する事項の公表等の3点について、対象が拡大されました。
 これらは実務上の影響が大きいにもかかわらず、施行後も自社が受ける影響の内容を正確に認識できていない事業者が少なくないと思われます。本稿では本改正に合わせて新たに追加・更新されたQ&Aも交えて解説します。

凡例
 本稿における主な略称は以下のとおりです。

個人情報保護法/個情法/法 個人情報の保護に関する法律
改正個情法規則 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)(令和6年4月1日施行)
ガイドライン通則編 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和5年12月一部改正)
Q&A 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和6年3月1日更新)
パブコメ 個人情報保護委員会事務局「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」、「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示(案)」、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)の一部を改正する告示(案)」、「個人情報の保護に関する法律についてのガイドライン(行政機関等編)の一部を改正する告示(案)」及び「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)の一部を改正する告示(案)」に関する意見募集において提出された御意見及びそれらに対する考え方
政令 個人情報の保護に関する法律施行令(平成15年政令第507号)

個人情報保護法施行規則およびガイドライン通則編の主な改正項目

 今回の個情法規則およびガイドライン通則編の主な改正項目は、以下のとおりです 1

  1. 不正目的をもって行われたおそれがある漏えい等発生時における個人情報保護委員会への報告と本人への通知(あわせて以下「報告等」といいます)の対象が、個人データから一部の個人情報まで拡大された(改正個情法規則7条、ガイドライン通則編3-5)
  2. 安全管理措置の対象が、個人データから一部の個人情報まで実質的に拡大された(ガイドライン通則編3-4-2、10(※1))
  3. 保有個人データに関する事項の公表等の対象が、一部の個人情報まで拡大された(ガイドライン通則編3-8-1)

「個人情報」と「個人データ」の違い

 個人情報保護法において、取扱いの対象が「個人情報」であるか「個人データ」であるかは大きな意味を持ちます。セミナー会場で来場者にアンケート用紙を配布する場面を想定すると、アンケート用紙に記入された氏名等を含む情報が「個人情報」(法2条1項)、アンケート用紙の記入情報をもとに作成したアンケートデータベース(スプレッドシート等)が「個人情報データベース等」(法16条1項)2、このデータベースを構成する個々のレコードが「個人データ」(法16条3項)に当たります 3

「個人情報」「個人情報データベース等」「個人データ」の関係

「個人情報」「個人情報データベース等」「個人データ」の関係

 個人情報と個人データいずれについても、利用目的に関する規制は適用されるところ(法17条~21条)、個人データの場合は、第三者提供時に原則として本人同意取得を要し(法27条、28条)、一定の漏えい等発生時には報告等をする義務がある(法26条)のに対し、個人情報の場合は、これらの義務をいずれも負わないとされていました 4

改正個情法規則が施行される前の規制

利用目的規制 第三者提供時の
本人同意取得		 漏えい等の報告等
個人情報 適用あり 義務なし 義務なし
個人データ 適用あり 義務あり ※1 義務あり ※2

※1 取扱いの委託に伴う場合や共同利用など、本人同意取得を要しない一定の例外があります。
※2 漏えい等のうち一定の場合に限って報告等を行う義務があります(3-1参照)。

漏えい等発生時の報告等義務に関する改正

漏えい等発生時に報告等を要する4つのケース

 個人情報保護法は、漏えい等が発生したあらゆる場合に報告等を要するとしているのではなく、漏えい等のうち次の4つのケースに限って、報告等を義務づけています(法26条)5

  1. 要配慮個人情報が含まれる漏えい等(改正個情法規則7条1号)
  2. 不正利用により財産的被害が生じるおそれがある漏えい等(同条2号)
  3. 不正目的をもって行われたおそれがある漏えい等(同条3号)
  4. 本人の数が1,000人を超える漏えい等(同条4号)

 2024年3月末まで、報告等の義務対象となるのは、上記4つのケースにおける「個人データ」の漏えい等に限られていました。今回の個情法規則改正により、③不正の目的をもって行われたおそれがある漏えい等については、個人データの漏えい等のみならず、「当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)」の漏えい等も、報告等の義務対象に含まれることになりました(改正個情法規則7条3号)。

 具体的には、改正個情法規則7条3号において、次の①から④までの情報が、漏えい等発生時における報告等の対象となります(Q&A6-1(令和6年3月追加)6)。改正によって新たに対象として追加されたのは②③④です。

改正個情法規則7条3号における「個人データ」の意義(Q&A6-1)

  1. 個人情報取扱事業者が取り扱う個人データ
  2. 個人情報取扱事業者が取り扱う個人情報(個人データとして取り扱われることが予定されているものに限る。
  3. 個人情報取扱事業者が取得しようとしている個人データ
  4. 個人情報取扱事業者が取得しようとしている個人情報(個人データとして取り扱われることが予定されているものに限る。

 先ほどの例でいうと、データベース化が予定されているアンケート用紙は、②個人情報取扱事業者が取り扱う個人情報(個人データとして取り扱われることが予定されているもの)に当たります。したがって、アンケート用紙について不正目的をもって行われたおそれがある漏えい等(盗難されたおそれがあるなど)が生じた場合は、報告等を行う義務が生じます。

不正行為による漏えい等発生時における報告対象が拡大

不正行為による漏えい等発生時における報告対象が拡大

報告等の義務が生じる具体的なケース

 このたびの個情法規則改正は、ウェブスキミング対策が念頭に置かれたものです 7ウェブスキミングとは、ECサイトなどに不正プログラムを設置することで、ユーザーが入力フォーム等に入力したパスワードやクレジットカード情報などを盗み出す攻撃手法のことを指します。ウェブスキミングの場合、ユーザーが入力した情報が、ECサイト事業者のサーバを介さず、攻撃者に直接に窃取されるので、「個人データ」になる前の「個人情報」が窃取されていることになります。

ウェブスキミングとは

ウェブスキミングとは

出所:2023年11月15日付日本経済新聞「「ウェブスキミング」初摘発 ECサイトでカード情報盗む」を一部改変

 改正前の個情法規則では、「個人データ」の漏えい等のみを報告等の対象としていたため、ウェブスキミングによる被害が発生したとしても、ECサイト事業者は報告等をする義務がありませんでした。ウェブスキミングについても報告等の対象とするためには、ECサイト事業者のサーバに入って個人データとなる前の段階である、入力フォームから入力された情報(個人情報)の漏えい等まで、対象を拡大する必要があり、このような経緯で今回の個情法規則改正が行われました。

報告等の義務が生じるケースと生じないケース

 令和6年3月に追加または更新されたQ&Aでは、報告等の義務が生じるケースと生じないケースについて以下のように記載されています。

 まず、正規のウェブサイトに偽装したウェブサイト(偽装ウェブサイト)に本人がIDやパスワード等を入力した場合について、正規のウェブサイトや正規の事業者が送信したメール等を経由せずに、偽装ウェブサイトにアクセスしてIDやパスワード等を入力した場合(正規のウェブサイトやメール内リンクを経由せずに、検索サイト等で表示されたフィッシングサイトに本人が直接個人情報を入力したような場合)は、攻撃者が偽装ウェブサイトを設置した行為は「当該個人情報取扱事業者に対する行為」(改正個情法規則7条3号)に該当するものではないため、報告等の対象にならないとされています(Q&A6-7(令和6年3月追加)参照)。

 次に、偽装ウェブサイトに本人が入力したIDやパスワード等を利用して、第三者が本人になりすまして、正規のウェブサイトにログインした場合は、個別の事案ごとに判断されますが、一般的には、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ…の漏えい等が発生し、又は発生したおそれがある事態」(改正個情法規則7条3号)が生じたものとして、正規のウェブサイトを運営する個人情報取扱事業者において報告等を行う義務が生じます(Q&A6-8(令和6年3月更新))。

委託先等の第三者に対する不正アクセス等によって生じた漏えい等も報告等の対象となる

 改正個情法規則7条3号は「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為」であることを要件としています。この不正行為の相手方となる「当該個人情報取扱事業者」の範囲は広く、第三者に個人データの取扱いを委託している場合における当該第三者(委託先)や、当該個人情報取扱事業者が個人データを取り扱うにあたって第三者の提供するサービスを利用している場合における当該第三者も含まれますガイドライン通則編3-5-3-1 (3))8。これらの第三者に対する不正アクセス等によって漏えい等が発生した場合には、報告等をする義務が生じる可能性があることを理解しておく必要があります。

 Q&A6-16(令和6年3月追加)では、具体的にどのような者が当該第三者に当たるかについて列挙されていますので、以下にその一部を引用します。

改正個情法規則7条3号における「当該個人情報取扱事業者」に含まれる第三者の例

(Q&A6-16より一部抜粋)
  • 個人情報取扱事業者が、ダイレクトメールの発送業務を外部事業者に委託し、これに伴い、ダイレクトメールの送付先である顧客の氏名や住所等の個人データを当該外部事業者に伝えている場合における、当該外部事業者
  • 個人情報取扱事業者が入力フォーム作成ツールを利用して個人情報を取得・管理している場合における、当該ツールの提供事業者
  • 個人情報取扱事業者がストレージサービスを利用して個人データ又は個人情報を保管している場合における、当該サービスの提供事業者
  • SNSを運営する個人情報取扱事業者が、第三者のウェブサイトに当該SNSの「ボタン」等を設置し、当該ウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得している場合における、当該第三者

クラウドサービス事業者による代行報告

 個人データの取扱いの委託(法27条5項1号)がなされている場合において、委託先において報告の対象となる漏えい等が発生した場合、原則として委託元と委託先の双方が報告する義務を負い、委託元および委託先の連名で報告することができます。委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されます(ガイドライン通則編3-5-3-2。ガイドライン3-5-3-5(委託元への通知による例外)も参照)。

 これに対し、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合、すなわち個人データの取扱いの委託をしていない場合において、報告対象となる漏えい等が発生した場合は、クラウドサービスを利用する事業者が報告義務を負い、クラウドサービス提供事業者は報告義務を負いません
 もっとも、クラウドサービスを利用する事業者が多数にわたる場合は、クラウドサービス提供事業者において報告を行ったことが便宜であることから、令和5年12月25日付で更新されたQ&A6-22では、クラウドサービスを利用する事業者が、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができる旨が明確化され、報告書の記入例も公表されました 9

安全管理措置の対象に関する改正

 今回のガイドライン通則編改正においては、個人情報取扱事業者が講ずべき安全管理措置についても、事業者が個人データとして取り扱うことを予定している個人情報(個人情報取扱事業者が取得し、または取得しようとしている個人情報)の漏えい等を防止するために必要かつ適切な措置が含まれる点が明確化されました。

安全管理措置

 (ガイドライン通則編3-4-2より一部抜粋。下線部分が今回追加された記載)
 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
 なお、「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる

 なお個人情報保護委員会は、ガイドライン通則編の上記改正について、「「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれます。本ガイドライン案の御指摘の箇所は、このような従前からの解釈を明確化したものです」(パブコメ29等)としていますが、少なくとも従前のガイドライン通則編においては、そのような解釈についての言及はなされていませんでした。今回の改正により、個情法に基づく安全管理措置の対象は実質的に拡大されたものと理解されます。

保有個人データに関する事項の公表等に関する改正

 保有個人データの安全管理措置については、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならないところ(法32条1項4号)、今回のガイドライン改正により、「保有個人データ」の安全管理措置のみならず、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取り扱うことを予定しているもの」の漏えい等を防止するために講じた措置も含まれることになりました(ガイドライン通則編3-8-1)。

事業者における実務対応

 以上の改正を踏まえた主な実務対応としては、プライバシーポリシーや社内規程(個人情報保護管理規程)の改訂、個人データの取扱いの委託を含む業務委託契約書の修正等が挙げられます。

プライバシーポリシーの改訂

 プライバシーポリシーにおいて保有個人データの安全管理措置を公表している場合は、保有個人データに加えて、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取り扱うことを予定しているもの」の安全管理措置(たとえばウェブスキミング対策を講じていること等)についても、加筆したうえで公表する方針が考えられます。

 保有個人データに関する事項の公表等は、本人の求めに応じて遅滞なく回答する場合を含むため(法32条1項)、プライバシーポリシーにこのような加筆を行うことは法的な義務とまではいえませんが、加筆によって個情法規則やガイドラインの改正をキャッチアップしており、適切に対応をしているというスタンスを対外的に示しておくことが、企業にとっては有益といえます。

社内規程(個人情報保護管理規程)の改訂

 社内規程(個人情報保護管理規程)においては、安全管理措置の対象が、個人データのみならず「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」が含まれる旨や、社内報告の対象となる漏えい等の事態が拡大された旨を明記するほか、十分な社内周知を行うことも重要となります 10

業務委託契約書の修正

 個人データの取扱いの委託を含む業務委託契約書においては、受託者において報告対象となる事態が発生した場合に、受託者が委託者に対して通知義務を負う範囲を、改正個情法規則7条3号に合わせて修正しておく必要等があるでしょう。

  1. その他に改正されたガイドラインとして、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」の2-2-2-1のほか、同「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」の個人データの外国第三者提供時におけるガバメントアクセスに関する情報提供(5-2、6-1、6-2)、総務省「電気通信事業における個人情報等の保護に関するガイドライン」等があります。 ↩︎

  2. 個人情報データベース等とは、個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものや、個人情報を含む情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものを指します(法16条1項、政令4条2項。一定の例外あり(政令4条1項))。 ↩︎

  3. 個人データとは、個人情報データベース等を構成する個人情報を指します(法16条3項)。 ↩︎

  4. ほかにも内容の正確性確保や消去の努力義務(法22条)、従業者の監督義務(法24条)、委託先の監督義務(法25条)なども、個人データに関する規制であって個人情報に関する規制とはされていません。 ↩︎

  5. 高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データの漏えい等は除かれています(改正個情法規則7条1号)。なお漏えい等が実際に発生した場合のみならず、発生したおそれがある事態が生じた場合にも報告等をする義務があります(改正個情法規則7条各号)。 ↩︎

  6. 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの更新」(令和6年3月1日) ↩︎

  7. 個人情報保護委員会第253回議事録第255回議事録を参照。 ↩︎

  8. 個人情報取扱事業者が、個人データとして取り扱うことを予定している個人情報の取扱いを第三者に委託する場合であって、当該第三者(委託先)が当該個人情報を個人データとして取り扱う予定はないときも、ここにいう「個人情報取扱事業者が第三者に個人データの取扱いを委託している場合」に該当します(ガイドライン通則編3-5-3-1 (3)(※3))。 ↩︎

  9. 個人情報保護委員会「クラウドサービス利用事業者(「利用事業者」という。)の報告を、クラウドサービスの提供事業者(「提供事業者」という。)が代行する場合の記入例」 ↩︎

  10. 杉浦健二「2024年4月1日改正個情法規則の施行で生じるプライバシーポリシーへの影響」(2024年2月26日付)もあわせてご参照ください。 ↩︎

杉浦 健二弁護士

STORIA法律事務所 東京オフィス

  • IT・情報セキュリティ
  • 知的財産権・エンタメ
  • 訴訟・争訟
  • ベンチャー
ウェブサービスやアプリなどオンラインビジネスに関する法務、個人データの利活用、インシデント対応を主に取り扱う。主な著書として『新アプリ法務ハンドブック』(日本加除出版、2022)、『AIプロファイリングの法律問題』(商事法務、2023)、『60分でわかる!最新著作権 超入門』(技術評論社、2024)(いずれも共編著)など。2007年弁護士登録(第一東京弁護士会)。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
杉浦 健二弁護士