【令和2年改正対応】個人情報が漏えいした場合、個人情報保護委員会への報告はどのようにすればよいか

IT・情報セキュリティ

 自社で取り扱う個人情報が漏えいした場合、個人情報保護委員会にはどのように報告すればよいでしょうか。

 個人情報保護法施行規則8条1項各号では、以下の事項が個人情報保護委員会への報告事項とされています。報告書の様式(個人情報保護法施行規則の「別記様式第一(第六条の三第三項関係)」)では、それぞれの報告事項について細目を定めています。

  • 概要(1号)
  • 漏えい等が発生し、または発生したおそれがある個人データの項目(2号)
  • 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数(3号)
  • 原因(4号)
  • 二次被害またはそのおそれの有無およびその内容(5号)
  • 本人への対応の実施状況(6号)
  • 公表の実施状況(7号)
  • 再発防止のための措置(8号)
  • その他参考となる事項(9号)


 個人情報保護法施行規則7条では、以下の事項を報告対象事態と定めており、①から③までの場合は、1件以上の個人データの漏えい等またはその発生したおそれがある場合でも漏えい等報告の対象となります。これに対して、④の場合は、1,000件以上の漏えい等またはその発生したおそれがある場合に漏えい等報告の対象となります。

  1. 要配慮個人情報の漏えい等の発生(発生のおそれも)(1号)
  2. 財産的被害が発生するおそれがある個人データの漏えい等の発生(例:クレジットカード番号やインターネットバンキングのID・パスワード等)(発生のおそれも)(2号)
  3. 不正目的のおそれによる漏えい等の発生(例:不正アクセスや従業員による持ち出し等)(発生のおそれも)(3号)
  4. 個人データの性質・内容、漏えい等の態様を問わず、大規模な個人データの漏えい等の発生(発生のおそれも)(4号)

※本稿における改正法および施行規則の条文番号は、令和3年改正による改正後の条文番号です。

解説

目次

  1. 報告の対象となる事態(個人情報保護法第26条1項、個人情報保護法施行規則7条、通則編ガイドライン3-5-3-1)
    1. 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則6条の2【7条】第1号)
    2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則6条の2第2号)
    3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条第3号)
    4. 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条第4号)
    5. 報告を要しない高度な暗号化等の秘匿化がなされている場合
  2. 個人情報保護委員会への報告は誰が行うか(通則編ガイドライン3-5-3-2)
  3. 個人情報保護委員会への報告(個人情報保護法26条第1項、個人情報保護法施行規則8条)
    1. 報告事項(個人情報保護法施行規則8条1項、通則編ガイドライン3-5-3-3)
    2. 速報(個人情報保護法施行規則8条1項、通則編ガイドライン3-5-3-3)
    3. 確報(個人情報保護法施行規則6条の3【8条】第2項、通則編ガイドライン3-5-3-4)
  4. 委託元への通知による例外(個人情報保護法22条の2第1項ただし書、個人情報保護法施行規則6条の4【9条】、通則編ガイドライン3-5-3-5)

報告の対象となる事態(個人情報保護法第26条1項、個人情報保護法施行規則7条、通則編ガイドライン3-5-3-1)

 個人情報取扱事業者は、次の①から④までに掲げる事態(以下「報告対象事態」といいます)を知ったときは、個人情報保護委員会に報告しなければなりません。

  1. 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条1号)
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条2号)
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条3号)
  4. 個人データに係る本人の数が千人を超える漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条4号)

 ただし、上記①から④のいずれの事態でも、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、漏えい等報告が不要です(個人情報保護法施行規則7条第1号)。

 なお、報告対象事態に該当しない漏えい等事案であっても、個人情報取扱事業者は個人情報保護委員会に任意に報告することができます。

 上記①から④のいずれの場合も「個人データ」の「漏えい、滅失または毀損」(「漏えい等」)が「発生した事態」、または「発生したおそれがある事態」が対象となっています。

 上記①から③までの場合は、1件以上の個人データの漏えい等またはその発生したおそれがある場合でも漏えい等報告の対象となります。

 これに対して、上記④の場合は、1,000件以上の漏えい等またはその発生したおそれがある場合に漏えい等報告の対象となります。

 報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになります。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当します。

 なお、本人通知が必要となる場合も個人情報保護委員会への報告を要する事態が生じた場合と同一です(個人情報保護法施行規則22条の2第2項)。

〇 漏えい等報告・本人通知が必要となる場合

事態の類型 漏えい等報告・本人通知が必要となる場合 件数 例外
個人データの性質 要配慮個人情報の漏えい等の発生(発生のおそれも)(1号) 1件以上 高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ
個人データの内容 財産的被害が発生するおそれがある個人データの漏えい等の発生(例:クレジットカード番号やインターネットバンキングのID・パスワード等)(発生のおそれも)(2号)
漏えい等の態様 不正目的のおそれによる漏えい等の発生(例:不正アクセスや従業員による持ち出し等)(発生のおそれも)(3号)
大規模な漏えい 個人データの性質・内容、漏えい等の態様を問わず、大規模な個人データの漏えい等の発生(発生のおそれも)(4号) 1,000件以上

 なお、報告対象事態に該当しない場合であっても、個人情報保護委員会への報告を行うことは可能です。この場合、報告書の様式における「規則第7条各号該当性」については、「非該当(上記に該当しない場合の報告)」として報告を行うことになります。(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新、以下、Q&A)Q6-15)

要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則6条の2【7条】第1号)

 機微性は様々ですが、特に要配慮個人情報は、その取扱いによっては差別や偏見が生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいため報告対象事態とされました。

【報告を要する事例】
事例1
病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合

事例 2
従業員の健康診断等の結果を含む個人データが漏えいした場合

 医療機関において、健康診断の結果等を誤って本人以外の者に交付した場合には、健康診断の結果等の要配慮個人情報が含まれる個人データを漏えいした場合に該当するため、件数にかかわらず報告対象となります(Q&A Q6-7)。

不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則6条の2第2号)

 漏えい等によってクレジットカード番号等が不正利用される事案は、従前から大きな問題となっています。このように、財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等の漏えい等)は、個人の権利利益に対する影響が大きいため報告対象事態とされました。

 財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断します。

【報告を要する事例】
事例 1
ECサイトからクレジットカード番号を含む個人データが漏えいした場合

事例 2
送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

 「不正に利用されることにより財産的被害が生じるおそれがある」とは、漏えい等した個人データを利用し、本人になりすまして財産の処分が行われる場合が想定されています。

 したがって、以下の個人データの漏えいは、ただちに「財産的被害が生じるおそれがある漏えい等」に該当しないと考えられます(ガイドラインパブコメ回答(概要)6番)。

  • 個人データである銀行口座情報のみが漏えいした場合
  • 購買履歴のみが漏えいした場合

 個人データであるクレジットカード番号のみの漏えいでも暗証番号やセキュリティコードが割り出されるおそれがあるため、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、個人データであるクレジット番号のうち、下4桁のみとその有効期限の組合せが漏えいした場合や個人データである 購買履歴が漏えいした場合は、ただちに「財産的被害が生じるおそれがある漏えい等」に該当しないと考えられます(Q&A Q6-10)。

 クレジットカードまたはデビットカードを誤って第三者に郵送した場合も、当該カードを発行した個人情報取扱事業者において、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、クレジットカードまたはデビッドカードが同封された郵便物が未開封のまま回収された場合には、通常、漏えいに該当せず、報告対象となりません(Q&A Q6-11)。

 個人データである銀行口座情報のみの漏えいは、ただちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しないと考えられます。なお、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏えいした場合には、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます(Q&A Q6-12)。

 また、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」について、漏えい等事案を知った時点において、財産的被害が生じるおそれがある場合は、その後の被害防止措置により財産的被害が生じるおそれがなくなったとしても、報告対象となると考えられます(Q&A Q6-13)。

不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条第3号)

 過失により生じたものと故意により生じたものでは、個人の権利利益に対する影響が異なり、故意によるもの(例:不正アクセスや従業員による持ち出し等)は、類型的に二次被害が発生するおそれが大きいため報告対象事態とされました。

 「不正の目的をもって」漏えい等を発生させた主体には、第三者のみならず、従業者も含まれます。

【報告を要する事例】
事例1
不正アクセスにより個人データが漏えいした場合

事例2
ランサムウェア等により個人データが暗号化され、復元できなくなった場合

事例3
個人データが記載又は記録された書類・媒体等が盗難された場合

事例4
従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

 「事例1 不正アクセスにより個人データが漏えいした場合」に関連して、サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、たとえば、次の①から④が考えられます。

  1. 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合

  2. 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合

  3. マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDNへの通信が確認された場合

  4. 不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合

 上記②については、単にマルウェアを検知したことをもってただちに漏えいのおそれがあると判断するものではなく、防御システムによるマルウェアの実行抑制の状況、外部通信の遮断状況等についても考慮することになります(Q&A Q6-14)。

 「事例4 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合」に関連して、「漏えい」が発生したおそれがある事態に該当し得る事例としては、たとえば、個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられます。

個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条第4号)

 上記1-1から1-3までに該当しない事案であっても、一定数以上の大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられています。

 「大規模の漏えい等」の「一定数以上」については、これまでに発生した漏えい等事案について、件数の分布や事案の傾向等を踏まえて、基準が検討されました。そして、過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて、1,000人が報告対象事態の基準とされました。

 「個人データに係る本人の数」は、当該個人情報取扱事業者が取り扱う個人データのうち、漏えい等が発生し、または発生したおそれがある個人データに係る本人の数をいいます。

 「個人データに係る本人の数」について、事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で個人情報保護法施行規則7条第4号に該当することになります。本人の数が確定できない漏えい等において、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、個人情報保護法施行規則7条第4号に該当します。

【報告を要する事例】
事例
システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が 1,000人を超える場合

報告を要しない高度な暗号化等の秘匿化がなされている場合

 上記1-1から1-4のいずれの報告対象事態に該当する場合であっても、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、漏えい等報告が不要です(個人情報保護法施行規則7条第1号)。

 暗号化については、漏えい等が発生した場合においても、権限のない第三者が見読することを困難にする措置として有効であり、現行の告示に基づく報告制度においても、「高度な暗号化等の秘匿化」がされた個人データは報告の対象外とされています。また、改正法において、「仮名加工情報である個人データ」は、漏えい等報告の対象外となっています。そこで、高度な暗号化等の秘匿化がされた個人データについては、漏えい等報告・本人通知の対象外とされました。

 報告を要しない「漏えい等が発生し、または発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等が発生し、または発生したおそれがある個人データについて、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。

 また、第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。

 さらに、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、または③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます(以上、Q&A Q6-16)。

 テンプレート保護技術を施した個人識別符号について、高度な暗号化等の秘匿化がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実をただちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータを直ちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」を講じていることになるため、報告は不要と考えられます。(Q&A Q6-17)

個人情報保護委員会への報告は誰が行うか(通則編ガイドライン3-5-3-2)

 漏えい等報告の義務を負う主体は、漏えい等が発生し、または発生したおそれがある個人データを取り扱う個人情報取扱事業者です。

 個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負います。この場合、委託元および委託先の連名で報告することができます。

 なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されます(個人情報保護法26条1項ただし書、Q&A Q6-18、下記4参照)。

 また、個人データの取扱いを委託している場合であっても、委託元が委託先にその取扱いを委託しておらず、委託元のみが取り扱っている個人データについては、報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになります。

 クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービス提供事業者は、法26条1項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務および同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます(Q&A Q6-19)。

 また、配送事業者は、通常、配送を依頼された中身の詳細については関知しないことから、当該配送事業者との間で特に中身の個人データの取扱いについて合意があった場合等を除き、当該個人データに関しては取扱いの委託をしているものではないものと解されます。
 そのため、当該配送事業者の誤配送により報告対象となる個人データの漏えいが発生したときには、配送事業者を利用した個人情報取扱事業者が報告義務を負います。この場合、配送事業者は、法26条1項の報告義務を負いませんが、配送事業者を利用する事業者が安全管理措置義務および同項の報告義務を負っていることを踏まえて、契約等に基づいて、配送事業者を利用する事業者に対して通知する等、適切な対応を行うことが求められます。(Q&A Q6-20)

個人情報保護委員会への報告(個人情報保護法26条第1項、個人情報保護法施行規則8条)

 個人情報保護法施行規則では下記のとおり、速報・確報として報告期限と報告内容が定められています。

報告の種類 報告期限 報告内容
速報 速やかに(おおむね3〜5日) その時点で把握している事項
確報 原則:事態を知った日から30日
※不正の目的をもって行われた行為による漏えい等については、事態を知った日から60日
報告が求められる事項について全て報告をする

報告事項(個人情報保護法施行規則8条1項、通則編ガイドライン3-5-3-3)

 個人情報保護法施行規則8条1項各号では以下の(1)から(9)までの事項が個人情報保護委員会への報告事項とされています。報告書の様式(個人情報保護法施行規則の「別記様式第一(第八条第三項関係)」)では、それぞれの報告事項についてさらに下記の細目を定めています。

(1)概要(1号)

 当該事態の概要について、(i)発生日、(ii)発覚日、(iii)発生事案、(iv)発見者、(v)個人情報保護法施行規則7条各号該当性、(vi)委託元および委託先の有無、(vii)事実経過(概要、発覚の経緯・発覚後の事実経緯(概要・発覚の経緯・発覚後の事実経緯(時系列))、(viii)外部機関による調査の実施状況(個人情報保護法施行規則7条3号に該当する場合のみ記載)を記載します。

(2)漏えい等が発生し、または発生したおそれがある個人データの項目(2号)

 漏えい等が発生し、または発生したおそれがある個人データの項目について、媒体(紙、電子媒体、その他)、種類(顧客情報、従業員情報、その他の別等)、項目(氏名、生年月日、性別、電話番号、メールアドレス、クレジットカード情報、パスワード、その他)とともに報告します。

(3)漏えい等が発生し、または発生したおそれがある個人データに係る本人の数(3号)

 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数(人数/うちクレジットカード情報を含む人数)について報告します。

(4)原因(4号)

 当該事態が発生した原因について、(i)主体(報告者、委託先、不明)、(ii)原因(不正アクセス(攻撃箇所・攻撃手法)、誤交付、誤送信(メールを含む)、誤廃棄、紛失、盗難、従業員不正、その他)、(iii)詳細について報告します。

(5)二次被害またはそのおそれの有無およびその内容(5号)

 当該事態に起因して発生する(i)二次被害の有無(不明の場合はその旨)、(ii)詳細について報告します。
 「二次被害」には、次のような事項が考えられます(Q&A Q6-22)。

事例1)クレジットカードの不正利用
事例2)ポイントサービスにおけるポイントの不正利用
事例3)漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信すること

(6)本人への対応の実施状況(6号)

 当該事態を知った後、本人に対して行った措置(通知を含む)の(i)実施状況(対応済(対応中)/対応予定/予定なし)、(ii)詳細(予定なしの場合は理由を記載)について報告します。

(7)公表の実施状況(7号)

 当該事態に関する公表の実施状況について報告します。具体的には、(i)事案の公表(実施済(公表日))、(ii)実施予定(公表予定日)、(iii)公表の方法(ホームページに掲載/記者会見/報道機関への資料配布/その他)、(iv)公表文について報告します。

(8)再発防止のための措置(8号)

 漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置、今後実施予定の措置(長期に講ずる措置・完了時期を含む)に分けて報告します。

(9)その他参考となる事項(9号)

 上記(1)から(8)までの事項を補完するため、個人情報保護委員会が当該事態を把握するうえで参考となる事項を報告します。
 「その他参考となる事項」には、以下のような事項が考えられます(Q&A Q6-23)。

事例1)他の行政機関等への報告状況(捜査機関への申告状況も含む)
事例2)外国の行政機関等への報告状況
事例3)当該個人情報取扱事業者が上場会社である場合、適時開示の実施状況・実施予定

事例4)すでに報告を行っている漏えい等事案がある中で、同時期に別の漏えい等事案が発生した場合には、両者が別の事案である旨


 個人情報保護委員会への漏えい等報告については、上記(1)から(9)までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行います。なお、報告先が事業所管大臣となるときは、事業所管大臣が報告方法を定めている場合にはその方法により、定めがない場合には報告書を提出する方法により報告することになります(Q&A Q6-24)。
 速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足ります。

速報(個人情報保護法施行規則8条1項、通則編ガイドライン3-5-3-3)

 個人情報取扱事業者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければなりません。個人情報保護委員会が個人情報保護法44条1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告しなければなりません。事業所管大臣に報告する場合、報告期限は個人情報保護委員会に報告する場合と同様です。

 報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されますが、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とします。「速やか」の日数の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点からおおむね3~5日以内です。
 部署内のある従業者が報告対象事態を知った時点で「部署が知った」と考えられます。なお、従業者等の不正な持ち出しの事案においては、不正な持ち出しを行った従業者等を除いたうえで判断することとなります(Q&A Q6-21)。
 個人情報保護委員会が事態を早急に把握する観点から、「おおむね3~5日以内」という記載の「3~5日以内」には、土日・祝日が含まれています(ガイドラインパブコメ回答(概要)13番)。

確報(個人情報保護法施行規則6条の3【8条】第2項、通則編ガイドライン3-5-3-4)

 個人情報取扱事業者は、報告対象事態を知った日から30日以内(「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態」(個人情報保護法施行規則6条の2【7条】第3号、上記1-4を知った場合には60日以内)に、当該事態に関する報告事項(上記アの①から⑨の事項)を個人情報保護委員会(個人情報保護委員会が法44条1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)に報告しなければなりません。30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましいです。

 「30日以内」とされているのは、個人情報保護委員会へのこれまでの報告実績を踏まえたものです。これに対して、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態」について「60日以内」とされているのは、不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要となることから、他の事案よりも時間的猶予を認めたものです。

 報告期限の起算点となる「知った」時点については、速報と同様に、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定にあたっては、その時点を1日目とします。速報の時点ですべての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができます。

 確報の報告期限(30日以内または60日以内)の算定にあたっては、土日・祝日も含めます。ただし、30日目または60日目が土日、祝日または年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とします(行政機関の休日に関する法律2条)。

 「確報」においては、上記3-1の(1)から(9)までの報告事項についてすべて報告をする必要があります。

 確報を行う時点(報告対象事態を知った日から30日以内または60日以内)において、合理的努力を尽くしたうえで、一部の事項が判明しておらず、すべての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとします。

委託元への通知による例外(個人情報保護法22条の2第1項ただし書、個人情報保護法施行規則6条の4【9条】、通則編ガイドライン3-5-3-5)

 委託先の個人情報取扱事業者は、報告対象事態(個人情報保護法施行規則6条の2【7条】各号)を知った後、速やかに、個人情報保護委員会(個人情報保護委員会が個人情報保護法44 条1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)への報告義務を負っている委託元の個人情報取扱事業者に対して、報告対象事項(上記3-1の(1)から(9)の事項)のうち、その時点で把握しているものを通知したときは、報告対象義務が免除されます。

 委託元への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければなりません。「速やか」の日数の目安については、個別の事案によりますが、委託先が当該事態の発生を知った時点から概ね3~5日以内です。

 この場合、委託先から通知を受けた委託元が報告をすることになります。委託元は、通常、遅くとも委託先から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければなりません。

 なお、通知を行った委託先は、委託元から報告するにあたり、事態の把握を行うとともに、必要に応じて委託元の漏えい等報告に協力することが求められます。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する