【令和2年改正対応】個人情報の漏えい等、滅失、毀損とは 企業が取るべき対応は
IT・情報セキュリティ令和2年個人情報保護法改正に伴い、個人情報の漏えい等があった場合、企業にはどのような対応が求められますか。
個人情報取扱事業者は、漏えい等またはそのおそれのある事案(以下「漏えい等事案」といいます)が発覚した場合は、漏えい等事案の内容等に応じて、次の①から⑤に掲げる事項について必要な措置を講じなければなりません。
- 事業者内部における報告および被害の拡大防止
- 事実関係の調査および原因の究明
- 影響範囲の特定
- 再発防止策の検討および実施
- 個人情報保護委員会への報告および本人への通知
※以下、改正法の条文番号は、令和3年改正法による改正後の条文番号です。
解説
改正の背景
EU、米国・中国など多くの国で個人情報の漏えいがあった場合、当局への報告が義務とされています。一方、令和2年の個人情報保護法改正前の日本では、制度上は努力義務でした(ただし、努力義務とはいえ、実態としては漏えい等報告について、多くの企業で対応されています)。
漏えい等報告が個人情報の本人、個人情報取扱事業者、監督機関それぞれにとって多くの意義があること、国際的な潮流になっていること等を勘案し、令和2年個人情報保護法改正により、漏えい等が生じた際の報告・本人への通知について、法令上の義務として新設されました(法26条)。
個人データの「漏えい等」とは(通則編ガイドライン3-5-1)
(1)個人データの「漏えい」とは(通則編ガイドライン3-5-1-1)
個人データの「漏えい」とは、個人データが外部に流出することをいいます。
事例 1
個人データが記載された書類を第三者に誤送付した場合
事例 2
個人データを含むメールを第三者に誤送信した場合
事例3
システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
事例4
個人データが記載または記録された書類・媒体等が盗難された場合
事例5
不正アクセス等により第三者に個人データを含む情報が窃取された場合
なお、「個人データを第三者に閲覧されないうちに全てを回収した場合」は、漏えいに該当しません。個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、以下のような事例が考えられます。(「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新、以下Q&A)Q 6-1)。
事例1)個人データを含むメールを第三者に誤送信した場合において、当該第三者が当該メールを削除するまでの間に当該メールに含まれる個人データを閲覧していないことが確認された場合
事例2)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合
ただし、これらの事例において、誤送信先の取扱いやアクセスログ等が確認できない場合には、漏えい(または漏えいのおそれ)に該当すると考えられます。
個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えい(または漏えいのおそれ)に該当すると考えられます。なお、社内で紛失したままである場合には、滅失(または滅失のおそれ)に該当すると考えられます(Q6-2)。
なお、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合は、漏えいに該当しません。この場合、漏えい等報告等の規定(法26条)の適用はありませんが、個人情報取扱事業者は、個人データの第三者への提供にあたり、原則としてあらかじめ本人の同意を取得する必要がありますので、本人の同意なく提供した場合は、第三者提供義務違反(法27条1項)となり得ます。
(2)個人データの「滅失」とは(通則編ガイドライン3-5-1-2)
個人データの「滅失」とは、個人データの内容が失われることをいいます。
事例1
個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合(※1)
事例2
個人データが記載または記録された書類・媒体等を社内で紛失した場合(※2)
なお、上記の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しません。また、個人情報取扱事業者が合理的な理由により個人データを削除する場合は、滅失に該当しません。
(※1)当該帳票等が適切に廃棄されていない場合には、個人データの漏えいに該当する場合があります。
(※2)社外に流出した場合には、個人データの漏えいに該当します。
(3)個人データの「毀損」とは
個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます。
事例 1
個人データの内容が改ざんされた場合
事例2
暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
事例3
ランサムウェア等により個人データが暗号化され、復元できなくなった場合(※)
なお、上記の事例2および事例3の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しません。
(※)同時に個人データが窃取された場合には、個人データの漏えいにも該当します。
漏えい等事案が発覚した場合に講ずべき措置(通則編ガイドライン3-5-2)
個人情報取扱事業者は、漏えい等またはそのおそれのある事案(以下「漏えい等事案」といいます)が発覚した場合は、漏えい等事案の内容等に応じて、次の①から⑤に掲げる事項について必要な措置を講じなければなりません。
- 事業者内部における報告および被害の拡大防止
責任ある立場の者にただちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じなければなりません。
「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です(Q&A 6-3)。
また、「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる」とは、たとえば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行う、または無線LANの無効化を行うなどの措置をただちに行うこと等が考えられます(Q&A 6-4)。 - 事実関係の調査および原因の究明
漏えい等事案の事実関係の調査および原因の究明に必要な措置を講じなければなりません。 - 影響範囲の特定
上記②で把握した事実関係による影響範囲の特定のために必要な措置を講じます。
たとえば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした原因、漏えい先等を踏まえ、影響の範囲を特定することが考えられます(Q&A 6-5)。 - 再発防止策の検討および実施
上記②の結果を踏まえ、漏えい等事案の再発防止策の検討および実施に必要な措置を講じなければなりません。 - 個人情報保護委員会への報告および本人への通知
詳細は、通則編ガイドライン3-5-4(本人への通知)を参照ください。なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係および再発防止策等について、速やかに公表することが望ましいです。
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー