個人情報保護委員会への漏えい報告義務があるのはどんな場合?
IT・情報セキュリティ 更新自社で取り扱う個人データが漏えいした場合、個人情報保護委員会への報告義務があるのはどのような場合でしょうか。また、どのように報告すればよいでしょうか。
個人データの漏えい等に係る事態のうち個人の権利利益を害するおそれが大きいものは、個人情報保護委員会への報告と本人への通知が必要です。
「個人の権利利益を害するおそれが大きいもの」とは、個人データの漏えい等が発生または発生したおそれのある事態のうち、①要配慮個人情報が含まれる場合、②不正利用により財産的被害が生じるおそれがある場合、③不正の目的をもって行われたおそれがある場合(①~③については1人の漏えい等も対象)、④1,000人を超える漏えい等の発生またはそのおそれがある場合の4つです。
個人情報保護委員会への報告は、発覚日からおおむね3~5日以内に速報を、発覚日から30日以内(上記③の場合は60日以内)に確報を、それぞれ同委員会のウェブサイト上のフォームから(権限委任がなされている場合には、当該委任先の事業所管大臣等に対して)行うとともに、本人に対する通知を行わなくてはなりません。
なお、上記報告対象事態に該当する場合であっても、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データと、仮名加工情報である個人データについては、個人情報保護委員会への漏えい等報告・本人通知は不要です。
解説
目次
(本記事における略記)
| 略記 | 正式名称 |
|---|---|
| 法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 施行規則 | 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号) |
| 通則編ガイドライン | 個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)(令和5年12月一部改正) |
| ガイドラインQ&A | 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(令和6年3月1日) |
| ガイドラインパブコメ回答 | 令和2年改正個人情報保護法ガイドライン(案)に関する意見募集結果(概要) (令和3年8月2日) |
個人情報保護委員会への報告の対象となる事態
個人情報取扱事業者は、次の①から④までに掲げる事態を知ったときは、個人情報保護委員会に報告しなければなりません(法26条1項、施行規則7条)。
漏えい等報告・本人通知が必要となる場合
| 類型 ※ | 対象事態 | 件数 | 例外 |
|---|---|---|---|
| 個人データの性質(1号) | ① 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態 |
1人以上 |
|
| 個人データの内容(2号) | ② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態 |
||
| 漏えい等の態様(3号) | ③ 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態 |
||
| 大規模な漏えい(4号) | ④ 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態 |
1,000人超 |
※ かっこ内は施行規則7条各号
なお、本人通知が必要となる場合も、個人情報保護委員会への報告を要する事態が生じた場合と同一です(法26条2項、施行規則7条)。
①から④のいずれの場合も、「個人データ」の「漏えい、滅失または毀損」(「漏えい等」)が「発生した事態」、または「発生したおそれがある事態」が対象となっています。
また、③に規定する「個人データ」には、以下のものが含まれます(ガイドラインQ&A6-1)。
- 個人情報取扱事業者が取り扱う個人データ
- 個人情報取扱事業者が取り扱う個人情報(個人データとして取り扱われることが予定されているものに限る)
- 個人情報取扱事業者が取得しようとしている個人データ
- 個人情報取扱事業者が取得しようとしている個人情報(個人データとして取り扱われることが予定されているものに限る)
①から③までの場合は、1人以上の個人データの漏えい等またはその発生したおそれがある場合でも、漏えい等報告の対象となります。これに対して、④の場合は、1,000人を超える漏えい等またはその発生したおそれがある場合に漏えい等報告の対象となります(通則編ガイドライン3-5-3-1)。
報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになります。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当します。
ただし、上記①から④のいずれの事態でも、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、漏えい等報告が不要です(施行規則7条1号)(2で後述)。
要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態
要配慮個人情報は、機微性は様々ですが、その取扱いによっては差別や偏見が生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいため報告対象事態となります(施行規則7条1号)。
通則編ガイドライン3-5-3-1(1)
事例1
病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
事例2
従業員の健康診断等の結果を含む個人データが漏えいした場合
たとえば、医療機関において、健康診断の結果等を誤って本人以外の者に交付した場合には、健康診断の結果等の要配慮個人情報が含まれる個人データを漏えいした場合に該当するため、件数にかかわらず報告対象となります(ガイドラインQ&A Q6-9)。
不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
漏えい等によってクレジットカード番号等が不正利用される事案は、従前から大きな問題となっています。このように、財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等の漏えい等)は、個人の権利利益に対する影響が大きいため報告対象事態となります(施行規則7条2号)。
通則編ガイドライン3-5-3-1(2)
事例1
ECサイトからクレジットカード番号を含む個人データが漏えいした場合
事例2
送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
「財産的被害が生じるおそれ」については、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断します(通則編ガイドライン3-5-3-1(2))。また、漏えい等事案を知った時点において、財産的被害が生じるおそれがある場合は、その後の被害防止措置により財産的被害が生じるおそれがなくなったとしても、報告対象となると考えられます(ガイドラインQ&A Q6-15)。
「不正に利用されることにより財産的被害が生じるおそれがある」とは、漏えい等した個人データを利用し、本人になりすまして財産の処分が行われる場合が想定されています(ガイドラインQ&A Q6-11)。
個人データである銀行口座情報のみの漏えいは、ただちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。なお、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏えいした場合には、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます(ガイドラインQ&A Q6-14)。
個人データであるクレジットカード番号のみの漏えいについては、暗証番号やセキュリティコードが割り出されるおそれがあるため、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、個人データであるクレジット番号のうち、下4桁のみとその有効期限の組合せが漏えいした場合や個人データである購買履歴が漏えいした場合は、ただちに「財産的被害が生じるおそれがある漏えい等」に該当するものではないと考えられます(ガイドラインQ&A Q6-12、ガイドラインパブコメ回答(概要)6番)。
クレジットカードまたはデビットカードを誤って第三者に郵送した場合は、当該カードを発行した個人情報取扱事業者において、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、クレジットカードまたはデビッドカードが同封された郵便物が未開封のまま回収された場合には、通常、漏えいに該当せず、報告対象となりません(ガイドラインQ&A Q6-13)。
不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、または取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む)の漏えい等が発生し、または発生したおそれがある事態
個人データの漏えい等は、過失により生じたものと故意により生じたもので、個人の権利利益に対する影響が異なり、故意によるもの(例:不正アクセスや従業員による持ち出し等)は、類型的に二次被害が発生するおそれが大きいため報告対象事態となります(施行規則7条3号)。
通則編ガイドライン3-5-3-1(3)
事例1
不正アクセスにより個人データが漏えいした場合
事例2
ランサムウェア等により個人データが暗号化され、復元できなくなった場合
事例3
個人データが記載または記録された書類・媒体等が盗難された場合
事例4
従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
事例5
従業者の私用の端末または取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバとの電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
事例6
個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例7
個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例8
個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
「不正の目的をもって」漏えい等を発生させた主体には、第三者のみならず、従業者も含まれます。
また、不正行為の相手方である「当該個人情報取扱事業者」には、当該個人情報取扱事業者が第三者に個人データの取扱いを委託している場合における当該第三者(委託先)および当該個人情報取扱事業者が個人データを取り扱うにあたって第三者の提供するサービスを利用している場合における当該第三者も含まれます(通則編ガイドライン3-5-3-1(3))。
これに関連して、個人情報取扱事業者が、個人データとして取り扱うことを予定している個人情報の取扱いを第三者に委託する場合であって、当該第三者(委託先)が当該個人情報を個人データとして取り扱う予定はないとき(たとえば、個人情報取扱事業者がストレージサービスを利用して個人データまたは個人情報を保管している場合における、当該サービスの提供事業者などが含まれます)も、ここにいう「個人情報取扱事業者が第三者に個人データの取扱いを委託している場合」に該当します(通則編ガイドライン3-5-3-1(3)(※3)、ガイドラインQ&A Q6-16)。
さらに、施行規則7条3号における「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれます。そして、当該個人情報取扱事業者が「取得しようとしている個人情報」に該当するかどうかは、当該個人情報取扱事業者が用いている個人情報の取得手段等を考慮して客観的に判断します。
個人情報データベース等へ入力すること等を予定していれば、最終的に個人情報に該当しない統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当します(通則編ガイドライン3-5-3-1(3))。
上記の事例1「不正アクセスにより個人データが漏えいした場合」に関連して、サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、たとえば次の①から⑤が考えられます。
- 個人データ(個人情報データベース等へ入力する予定の個人情報を含む。②において同じ)を格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合
- 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合
- マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDNへの通信が確認された場合
- 個人情報の取得手段であるウェブページを構成するファイルを保存しているサーバや、当該サーバにアクセス権限を有する端末において、外部からの不正アクセスにより、当該ファイルに、当該ウェブページに入力された情報を窃取するような改ざんがされた痕跡が確認された場合
- 不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合
上記②については、漏えいが発生したおそれがある事態に該当し得る事例を示したものであり、単にマルウェアを検知したことをもってただちに漏えいのおそれがあると判断するものではなく、防御システムによるマルウェアの実行抑制の状況、外部通信の遮断状況等についても考慮することになります(ガイドラインQ&A Q6-17)。
上記の事例4「従業者が顧客の個人データを不正に持ち出して第三者に提供した場合」に関連して、「漏えい」が発生したおそれがある事態に該当し得る事例としては、たとえば、個人データまたは個人情報を格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられます(通則編ガイドライン3-5-3-1(3)(※5))。
個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態
上記1-1から1-3までに該当しない事案であっても、個人データに係る本人の数が1,000人を超える大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられ、報告対象事態となります(施行規則7条4号)。
「個人データに係る本人の数」は、当該個人情報取扱事業者が取り扱う個人データのうち、漏えい等が発生し、または発生したおそれがある個人データに係る本人の数をいいます(通則編ガイドライン3-5-3-1(4))。1,000人という基準は、過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて定められたものです。
なお、事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で施行規則7条4号に該当することになります。本人の数が確定できない漏えい等においては、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、施行規則7条4号に該当します(通則編ガイドライン3-5-3-1(4))。
個人情報保護委員会への報告を要しない場合
上記1-1から1-4のいずれの報告対象事態に該当する場合であっても、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データと、仮名加工情報である個人データについては、漏えい等報告が不要です。
報告対象事態に該当しない場合であっても、個人情報保護委員会へ任意に報告を行うことは可能です。この場合、報告書の様式(施行規則の「別記様式第一(第八条第三項関係)」)における「規則第7条各号該当性」については、「非該当(上記に該当しない場合の報告)」として報告を行うことになります(ガイドラインQ&A Q6-18)。
高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ
高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データについては、漏えい等報告が不要です(施行規則7条1号)。
報告を要しない「漏えい等が発生し、または発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等が発生し、または発生したおそれがある個人データについて、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。
第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。
また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報もしくは復号鍵を削除する機能を備えていること、または③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます(以上、ガイドラインQ&A Q6-19)。
テンプレート保護技術を施した個人識別符号については、高度な暗号化等の秘匿化がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実をただちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータをただちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」を講じていることになるため、報告は不要と考えられます(ガイドラインQ&A Q6-20)。
仮名加工情報である個人データ
仮名加工情報である個人データも、漏えい等報告・本人通知の対象外となっています(法41条9項)。
個人情報保護委員会への報告は誰が行うか
原則
漏えい等報告の義務を負う主体は、原則として、漏えい等が発生し、または発生したおそれがある個人データを取り扱う個人情報取扱事業者です。ただし、不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態について漏えい等報告の義務を負う主体は、漏えい等が発生し、または発生したおそれがある個人データまたは個人情報を取り扱い、または取得しようとしている個人情報取扱事業者です(通則編ガイドライン3-5-3-2)。
個人データの取扱いを委託している場合
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っており、または取得しようとしていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負います。この場合、委託元および委託先の連名で報告することができます(通則編ガイドライン3-5-3-2)。
なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されます(法26条1項ただし書、施行規則9条、通則編ガイドライン3-5-3-5、下記5参照)。
また、個人データの取扱いを委託している場合であっても、委託元から委託先にある個人データ(個人データA)の取扱いを委託している場合であって、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、委託元において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになります(通則編ガイドライン3-5-3-2、ガイドラインQ&A Q6-21)。
なお、配送事業者は、通常、配送を依頼された中身の詳細については関知しないことから、当該配送事業者との間で特に中身の個人データの取扱いについて合意があった場合等を除き、当該個人データに関しては取扱いの委託をしているものではないものと解されます。
そのため、当該配送事業者の誤配送により報告対象となる個人データの漏えいが発生したときには、配送事業者を利用した個人情報取扱事業者が報告義務を負います。この場合、配送事業者は、法26条1項の報告義務を負いませんが、配送事業者を利用する事業者が安全管理措置義務および同項の報告義務を負っていることを踏まえて、契約等に基づいて、配送事業者を利用する事業者に対して通知する等、適切な対応を行うことが求められます(ガイドラインQ&A Q6-23)。
クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合
クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。
また、クラウドサービス提供事業者は、法26条1項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務および同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます(ガイドラインQ&A Q6-22)。
個人情報保護委員会への報告期限と報告事項
個人情報保護委員会への漏えい等報告については、下記のとおり、速報・確報として報告期限と報告事項が定められています(法26条1項、施行規則8条)。
| 報告の種類 | 報告期限 | 報告事項 |
|---|---|---|
| 速報 | 速やかに(おおむね3〜5日以内) | その時点で把握している事項 |
| 確報 | 原則:事態を知った日から30日以内 ※不正の目的をもって行われた行為による漏えい等については、事態を知った日から60日以内 |
報告が求められるすべての事項 |
報告は、原則として、個人情報保護委員会のウェブサイト上の「漏えい等報告フォーム」に入力する方法により行います(通則編ガイドライン3-5-3-3)。報告先が事業所管大臣となるときは、事業所管大臣が報告方法を定めている場合にはその方法により、定めがない場合には報告書を提出する方法により報告することになります(ガイドラインQ&A Q6-27)。
速報
個人情報取扱事業者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければなりません(施行規則8条1項)。「速やか」の日数の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点からおおむね3~5日以内です(通則編ガイドライン3-5-3-3)。「3~5日以内」には、個人情報保護委員会が事態を早急に把握する観点から、土日・祝日が含まれています(ガイドラインパブコメ回答(概要)13番)。
個人情報保護委員会が法150条1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告しなければなりません。個別具体的な報告先は、個人情報保護委員会の公表する「個人情報の保護に関する法律に基づく権限の委任を行う業種等及び府省庁並びに当該業種等における漏えい等事案発生時の報告先【詳細版】」をご覧ください。事業所管大臣に報告する場合も、報告期限は個人情報保護委員会に報告する場合と同様です(通則編ガイドライン3-5-3-3)。
報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されますが、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とします(通則編ガイドライン3-5-3-3)。
「部署が知った」時点については、部署内のある従業者が報告対象事態を知った時点と考えられます。なお、従業者等の不正な持ち出しの事案においては、不正な持ち出しを行った従業者等を除いたうえで判断することとなります(ガイドラインQ&A Q6-24)。
確報
個人情報取扱事業者は、速報に加え、報告対象事態を知った日から30日以内に、当該事態に関する報告事項(4-3で後述)を個人情報保護委員会に報告しなければなりません(個人情報保護委員会が法150条1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告)(施行規則8条2項、通則編ガイドライン3-5-3-4)。
「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態」(施行規則7条3号)の報告期限は60日以内です。30日以内または60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましいです(施行規則8条2項、通則編ガイドライン3-5-3-4)。
速報の時点ですべての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができます。
「30日以内」とされているのは、個人情報保護委員会へのこれまでの報告実績を踏まえたものです。これに対して、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態」について「60日以内」とされているのは、不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要となることもあるため、他の事案よりも時間的猶予を認めたものです。
報告期限の起算点となる「知った」時点については、速報と同様に、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定にあたっては、その時点を1日目とします。
確報の報告期限(30日以内または60日以内)の算定にあたっては、土日・祝日も含めます。ただし、30日目または60日目が土日、祝日または年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とします(行政機関の休日に関する法律2条)。
確報を行う時点において、合理的努力を尽くしたうえで、一部の事項が判明しておらず、すべての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとします(以上、通則編ガイドライン3-5-3-4)。
報告事項
個人情報保護委員会への報告事項は以下のとおりです(施行規則8条1項各号、通則編ガイドライン3-5-3-3)。報告書の様式(施行規則の「別記様式第一(第八条第三項関係)」)では、それぞれの報告事項についてさらに細目を定めています。
速報においては、これらのうち、報告をしようとする時点において把握している内容を報告すれば足ります。確報においては、すべての事項について報告をする必要があります。
| 報告事項 | 細目 | |
|---|---|---|
| 1号 | 概要 |
|
| 2号 | 漏えい等が発生し、または発生したおそれがある個人データの項目 |
|
| 3号 | 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数 |
|
| 4号 | 原因 |
|
| 5号 | 二次被害またはそのおそれの有無およびその内容 |
|
| 6号 | 本人への対応の実施状況 |
|
| 7号 | 公表の実施状況 |
|
| 8号 | 再発防止のための措置 |
|
| 9号 | その他参考となる事項 | 個人情報保護委員会が当該事態を把握するうえで参考となる事項 ※2 を報告 |
※1「二次被害」としては以下のような事項が考えられます(ガイドラインQ&A Q6-25)。
事例1)クレジットカードの不正利用
事例2)ポイントサービスにおけるポイントの不正利用
事例3)漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信すること
※2「その他参考となる事項」としては以下のような事項が考えられます(ガイドラインQ&A Q6-26)。
事例1)他の行政機関等への報告状況(捜査機関への申告状況も含む)
事例2)外国の行政機関等への報告状況
事例3)当該個人情報取扱事業者が上場会社である場合、適時開示の実施状況・実施予定
事例4)すでに報告を行っている漏えい等事案がある中で、同時期に別の漏えい等事案が発生した場合には、両者が別の事案である旨
委託元への通知による例外
委託先の個人情報取扱事業者は、報告対象事態を知った後、速やかに、個人情報保護委員会(個人情報保護委員会が法150条1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)への報告義務を負っている委託元の個人情報取扱事業者に対して、報告事項(上記4-3)のうち、その時点で把握しているものを通知したときは、報告対象義務が免除されます(法26条1項ただし書、施行規則9条、通則編ガイドライン3-5-3-5)。
委託元への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければなりません。「速やか」の日数の目安については、個別の事案によりますが、委託先が当該事態の発生を知った時点からおおむね3~5日以内です。
この場合、委託先から通知を受けた委託元が報告をすることになります。委託元は、通常、遅くとも委託先から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければなりません。
なお、通知を行った委託先は、委託元から報告するにあたり、事態の把握を行うとともに、必要に応じて委託元の漏えい等報告に協力することが求められます(以上、通則編ガイドライン3-5-3-5)。
いわゆる3年ごと見直しによる変更点(予想)
個人情報保護法の令和2年改正法の附則10条では、「政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」と規定されています(いわゆる3年ごと見直し規定)。この規定に基づき、個人情報保護委員会は、個人情報保護法の改正の検討を進めており、順調にいけば、令和7年(2025年)には、個人情報保護法の改正法が公布されることが予想されます。
認定個人情報保護委員会被確認事業者に対する漏えい等事案対応の緩和
漏えい等報告に関しては、個人情報保護委員会が令和6年(2024年)6月27日に公表した「個人情報保護法 いわゆる3年ごと見直しに係る中間整理」において、以下の考え方が示されています。
※筆者注:「①のようなケース」とは、漏えいした個人データに係る本人の数が1名である誤交付・誤送付案件のことで、「当該本人にとっては深刻な事態になり得るものであり、本人通知の重要性は変わらないものの、本人通知が的確になされている限りにおいては、委員会に速報を提出する必要性が比較的小さい」とされています。
「体制・手順について認定個人情報保護団体などの第三者の確認を受けた事業者」(以下「認定個人情報保護委員会被確認事業者」といいます)としては、認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)のプライバシーマーク 1 を付与された事業者が想定されます。
認定個人情報保護委員会被確認事業者における小規模漏えい等事案に関する速報義務の免除および確報の一定期間ごとの取りまとめ報告と同様の仕組みについては、金融分野における業法上の報告において一部導入されています。その内容は次のとおりであり(個人情報保護委員会事務局・金融庁「金融機関における個人情報保護に関するQ&A」問Ⅴ-8)、このような金融分野における取扱いは、今後の改正内容を占うにあたっても参考になるのではないかと思われます。
- FAXの誤送信、郵便物等の誤送付、メールの誤送信等については、金融機関が個別の事案ごとに、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性等を検討し、「速やかに」報告を行う必要性が低いと判断したものであれば、業務の手続の簡素化を図る観点から、四半期に一回程度にまとめて監督当局に報告することも差し支えありません。
- 郵便局員による誤配等、金融機関の責めに帰さない事案については、監督当局に報告する必要はないと判断いただいても差し支えありません。ただし、「本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい」とはいえない場合には、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性などを検討した上で、都度「速やかに」又は四半期に一回程度にまとめて報告を行う必要があります。
- 他方で、いかなる場合でも、漏えい等事案の事実関係等を公表する場合には、都度「速やかに」監督当局に報告する必要があります。
いわゆる「おそれ」要件の明確化
漏えい等事案に関するいわゆる「おそれ」要件については、その外縁が不明確です。現状の実務においては、漏えい等が生じていないことの確証を得ることができない限り、「おそれ」要件を充足することが前提とされているように思われ、事業者に対して大きな負担が生じています。
産業界の各事業者団体からも、「おそれ」のある事案をすべて報告するのは過度な負担であるとして、以下のとおり緩和の強い要望があります 2。
- まずは、本法に基づく漏えい等報告によってこれまで蓄積されたデータベース(例:漏えい等報告の実態や報告の活用状況等)を踏まえ、エビデンスに基づき、検証した結果を公表すべき
- その上で、制度の趣旨・目的に照らしつつ、リスクベースアプローチによる合理的な範囲に報告対象を絞り込むなど、現在の報告・通知の在り方を見直すべき
筆者の意見としては、たとえば、アクセスログ等の網羅的な確認が困難な事案であったとしても、他に漏えい等の徴候が認められない場合には、漏えい等の「おそれなし」としてよいのではないかと思われます。なお、他の漏えい等の徴候にもグラデーションがあり、いわゆるダークウェブの調査等の積極的調査を要するのか、本人からの特段の被害申出がないことの確認をもって足りるのかは、漏えい等が疑われるデータの性質等に応じて柔軟な対応が許容されるべきでしょう。
法令改正というよりもガイドラインの改定によって、要件の明確化について一定の手当てがなされる可能性もありますが、まさに現在、実務上の混乱や過度な負担が生じているため、迅速な対応が期待されます。
-
プライバシーマーク制度は、事業者の個人情報を取扱う仕組みとその運用が適切であるかを評価し、その証として事業活動においてプライバシーマークの使用を認める制度です。プライバシーマーク制度は、日本産業規格「JIS Q 15001 個人情報保護マネジメントシステムー要求事項」(以下「JIS Q 15001」という。)をベースとした審査基準による審査を経て、事業者の個人情報の取扱いが適切であるかを評価します。JIS Q 15001は、個人情報保護法等、法令への遵守も包含しています。 ↩︎
-
日本経済団体連合会、日本商工会議所、経済同友会、新経済連盟、日本IT団体連盟、Fintech協会、シェアリングエコノミー協会、プライバシーテック協会「個人情報保護法の3年ごと見直しに対する意見」(2024年4月4日)において、「漏えい等報告等の負担軽減」が共通の意見として個人情報保護委員会に提出されています。 ↩︎
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所