個人情報漏えい時の本人通知義務を弁護士がわかりやすく解説
IT・情報セキュリティ 更新自社で取り扱う個人データが漏えいしました。個人情報保護委員会への報告のほかに、本人への通知も必要でしょうか。
個人情報取扱事業者は、個人データの漏えい等が発生し、または発生したおそれがあり、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告に加え、本人に対しても通知を行う必要があります。
本人への通知は、事態の状況に応じて速やかに、概要、個人データの項目、原因、二次被害やそのおそれなどの内容を、郵送、電子メールなどの、本人にとってわかりやすい方法で行わなければなりません。
本人への通知が困難な場合は、ホームページ等での公表や問い合わせ窓口の設置などの代替措置を講じることも可能です。
解説
目次
(本記事における略記)
| 略記 | 正式名称 |
|---|---|
| 法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 施行規則 | 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号) |
| 通則編ガイドライン | 個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)(令和5年12月一部改正) |
| ガイドラインQ&A | 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(令和6年3月1日) |
| ガイドラインパブコメ回答 | 令和2年改正個人情報保護法ガイドライン(案)に関する意見募集結果(概要)(令和3年8月2日) |
本人への通知が必要なのはどのような場合か
個人情報取扱事業者は、個人データの漏えい等(漏えい、滅失もしくは毀損)について、以下のような事態が生じた場合には、個人情報保護委員会への報告に加え、本人に対して通知を行う必要があります(法26条2項、施行規則7条各号・10条、通則編ガイドライン3-5-4-1)。これらの事態について、通則編ガイドラインでは「報告対象事態」と呼んでいます。すなわち、個人情報保護委員会に報告すべき事態については、原則として本人に対して通知を行う必要があります。
- 要配慮個人情報が含まれる事態
- 不正利用により財産的被害が生じるおそれがある事態
- 不正目的で行われたおそれがある事態
- 本人の数が1,000人を超える事態
漏えい等報告・本人通知が必要となる場合
| 類型 ※ | 対象事態 | 件数 | 例外 |
|---|---|---|---|
| 個人データの性質(1号) | ① 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態 |
1人以上 |
|
| 個人データの内容(2号) | ② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態 |
||
| 漏えい等の態様(3号) | ③ 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、または取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、または発生したおそれがある事態 |
||
| 大規模な漏えい(4号) | ④ 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態 |
1,000人超 |
※かっこ内は施行規則7条各号
要配慮個人情報が含まれる事態
要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態については、施行規則7条1号に規定されています。通則編ガイドライン3-5-3-1(1)では、以下の2つの例があげられています。
- 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 従業員の健康診断等の結果を含む個人データが漏えいした場合
不正利用により財産的被害が生じるおそれがある事態
不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態については、施行規則7条2号に規定されています。通則編ガイドライン3-5-3-1(2)では、以下の2つの例があげられています。
- ECサイトからクレジットカード番号を含む個人データが漏えいした場合
- 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
不正目的で行われたおそれがある事態
不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等が発生し、または発生したおそれがある事態については、施行規則7条3号に規定されています。
不正目的で行われたおそれがある事態における「当該個人情報取扱事業者に対する行為による個人データ」については、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」も含まれます(施行規則7条3号、通則編ガイドライン3-5-1-1)。
そのため、施行規則7条3号との関係では、個人情報取扱事業者が現に取り扱う個人データのみならず、次の情報も、同号に規定する個人データに該当します(ガイドラインQ&A6-1)。なお、施行規則7条1号・2号・4号との関係では、これらの情報は対象とならないことに留意が必要です。
- その取り扱う個人情報であって、個人データとして取り扱われることが予定されているもの
- その取得しようとしている個人データ
- その取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの
具体的には、通則編ガイドライン3-5-3-1(3)において、以下の8つの例があげられています。
- 不正アクセスにより個人データが漏えいした場合
- ランサムウェア等により個人データが暗号化され、復元できなくなった場合
- 個人データが記載または記録された書類・媒体等が盗難された場合
- 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
- 従業者の私用の端末または取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバとの電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
- 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
- 個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
- 個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
本人の数が1,000人を超える事態
個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態については、施行規則7条4号に規定されています。通則編ガイドライン3-5-3-1 (4)では、以下の例があげられています。
- システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合
本人への通知が不要なのはどのような場合か
上記①から④のいずれの場合も、高度な暗号化その他の個人の権利利益を保護するために必要な措置(秘匿化)を講じた個人データについては、本人通知は不要とされています(施行規則7条1号、通則編ガイドライン3-5-3-1)。
A:本人通知を要しない「漏えい等が発生し、または発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等が発生し、または発生したおそれがある個人データについて、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます(ガイドラインQ&A6-19)。
本人への通知義務を負うのは誰か
本人通知義務を原則として負う主体
本人への通知義務を負う主体は、原則として、漏えい等が発生し、または発生したおそれがある個人データを取り扱う個人情報取扱事業者です(通則編ガイドライン3-5-4-1)。
委託先と委託元の義務の違い
個人データの取扱いを委託している場合の考え方は以下のとおりです。なお、「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいい、具体的には、個人データの入力(本人からの取得を含む)、編集、分析、出力等の処理を行うことを委託すること等が想定されます(通則編ガイドライン3-4-4)。
A:原則として、委託元と委託先の双方が、本人への通知義務を負います。ただし、法26条2項かっこ書・施行規則9条に基づき、委託先が、報告義務を負っている委託元に、報告事項(施行規則8条)のうちその時点で把握しているものを通知したときは、委託先は報告義務を免除されるとともに、本人への通知義務も免除されます(委託元への通知による例外。法26条1項ただし書、通則編ガイドライン3-5-3-2、3-5-3-5)。
なお、この例外においては、「報告義務を負っている委託元」であること、すなわち、委託元が報告義務を負うことが前提とされており、委託先が報告義務を負うものの、委託元においては報告義務を負わない場合は、委託元への通知を行ったとしても委託先の報告義務は免除されません。
A:委託元と委託先の双方が本人へ通知する義務を負う場合、委託元と委託先の連名で通知することができます(通則編ガイドライン3-5-3-2)。委託先が本人への通知義務を免除された場合、委託元が本人へ通知することになりますが、この場合、委託先の協力を得て、連名で本人への通知を行うことも可能です。
いつまでに本人へ通知すべきか
「当該事態の状況に応じて速やかに」の意味
個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければなりません(施行規則10条)。「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものですが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断します(通則編ガイドライン3-5-4-2)。
以下の2つの事例は、「その時点で通知を行う必要があるとはいえないと考えられる事例」として通則編ガイドライン3-5-4-2であげられているものですが、「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはありません。
事例1
インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合
事例2
漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合
個人情報保護委員会への報告期限との関係
個人情報保護委員会への報告は「速やかに」(施行規則8条1項)行う必要があり、その日数の目安は、個別の事案にもよるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内を意味するとされる一方、本人への通知は、前記のとおり、「当該事態の状況に応じて速やかに」とされています。
これは、本人への通知が、「本人の権利利益を保護するために必要な範囲において」行うものであるとされていること(通則編ガイドライン3-5-4-3)や、通知のタイミングによっては上記4-1に掲げる事例1・事例2が示すとおり、かえって被害が拡大したり混乱が生じたりするおそれがあることを考慮したものであると考えられます。
したがって、個人情報保護委員会への報告期限と本人への通知の期限とは、必ずしも同じタイミングですることが求められるものではないと考えられます。
たとえば、個人情報保護委員会への速報の提出時点では上記4-1に掲げる事例1・事例2の示すような弊害があると認められる場合には、報告事項のうち施行規則8条1項6号に定める「本人への対応の実施状況」について、「対応予定」にチェックを入れることになると考えられます(個人情報保護委員会の漏えい等報告フォームを使用する場合)。また、個人情報保護委員会への速報の提出後に、漏えい等のおそれがないと判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要となります(通則編ガイドライン3-5-4-3)。
なお、当職らの経験した過去事案には、個人情報保護委員会に対して速報提出後に、「個人データの漏えいまたはそのおそれ」がないことが判明した場合には、期限内に個人情報保護委員会に確報をいったん提出するものの、その確報の内容としては「個人データの漏えいまたはそのおそれ」がなかったとの報告を提出し、事実上の報告の取り下げを行うというものでありました。これが個人情報保護委員会の実務上の取扱いとして一般的かどうかは不明ですが、このような場合には本人通知は不要です。
何を本人へ通知すべきか
本人への通知事項
本人への通知事項は以下のとおりです(施行規則10条)。これらの事項がすべて判明するまで本人への通知をする必要がないというものではなく、上記4のとおり「当該事態の状況に応じて速やかに」行う必要があります(通則編ガイドライン3-5-4-3)。
- 概要(施行規則8条1号)
- 漏えい等が発生し、または発生したおそれがある個人データの項目(同条2号)
- 原因(同条4号)
- 二次被害またはそのおそれの有無およびその内容(同条5号)
- その他参考となる事項(同条9号)
上記⑤の「その他参考となる事項」とは、本人への通知を補完するため、本人にとって参考となる事項をいいます。たとえば、本人が自らの権利利益を保護するために取り得る措置が考えられ、以下はその例です(通則編ガイドライン3-5-4-3、ガイドラインQ&A6-26)。
- 行政機関等(捜査機関や外国含む)への報告状況
- 当該個人情報取扱事業者が上場会社である場合は適時開示の実施状況・実施予定
- 既に通知を行っている漏えい等事案がある中で、同時期に別の漏えい等事案が発生した場合には、両者が別の事案である旨
「本人の権利利益を保護するために必要な範囲」とは
本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものです。前記4-2のとおり、当初報告対象事態に該当すると判断したものの、その後実際には該当していなかったことが判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要です(通則編ガイドライン3-5-4-3)。
事例1
不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するにあたり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること
事例2
漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること
どのような方法で本人へ通知すべきか
本人への通知とは、本人に直接知らしめることをいい、事業の性質および個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければなりません。また、法令上定められた様式はありませんが、本人にとってわかりやすい形で通知を行うことが望ましいです(通則編ガイドライン3-5-4-4)。
通則編ガイドライン3-5-4-4で、通知の方法として例示されているものは以下のとおりです。
- 文書を郵便等で送付することにより知らせること
- 電子メールを送信することにより知らせること
A:本人への通知の方法として口頭で知らせる方法も可能ですが、本人が口頭で通知を受けた内容を事後的に確認できるようにする観点から、必要に応じて書面または電子メール等による通知を併用することが望ましいと考えられます(ガイドラインQ&A6-29)。
本人への通知が困難な場合の代替措置
本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められます(法26条2項ただし書、通則編ガイドライン3-5-4-5)。
本人への通知が困難な場合とは
本人への通知が困難な場合の例として、通則編ガイドライン3-5-4-5では以下の2つがあげられています。
- 保有する個人データの中に本人の連絡先が含まれていない場合
- 連絡先が古いために通知を行う時点で本人へ連絡できない場合
A:本人への通知に関し、複数の連絡手段を有している場合において、1つの手段で連絡ができなかったとしても、ただちに「本人への通知が困難である場合」に該当するものではありません。たとえば、本人の連絡先として、住所と電話番号を把握しており、当該住所へ書面を郵送する方法により通知しようとしたものの、本人が居住していないとして当該書面が還付された場合には、別途電話により連絡することが考えられます(ガイドラインQ&A6-30)。
A:個人情報取扱事業者が本人への連絡を試みたものの、連絡がつかず、その後、その連絡がつかない原因が連絡先が古いからであることが判明した場合がこれに該当します。
このような場合のみならず、個人情報取扱事業者が連絡先を取得してから報告対象事態が発生するまでに数年が経過しているため連絡先が古くなっており、仮にその連絡先に連絡してみたとしても本人に連絡することができないと合理的に想定される場合も、これに該当するものと解されます(ガイドラインパブコメ回答(通則編)No.268も参照)。
代替措置
代替措置の例として、通則編ガイドライン3-5-4-5では以下の2つがあげられています。
- 事案の公表
- 問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること(個人情報取扱いに関する常設の相談受付窓口を利用することも可能。ガイドラインQ&A6-31)
代替措置の要否に関する判断基準は、報告対象事態に係る本人の全員に対して通知を行うことができるか否かに求められると考えられます。
個人情報保護委員会自身が令和4年1月18日に公表した「個人情報の漏えいについて」と題する文書においても、12名中11名については連絡先を特定し、事実関係を説明した旨の記載があるものの、残る1名については特段の言及が見られないことも参考になります(ただし、漏えいの規模、発生時期および漏えいした情報の内容に照らし、個人情報保護委員会が、法的義務の履行としてではなく、あくまで任意に公表したものであると考えられます)。そのため、報告対象事態に係る本人のうち、仮に1人でも通知が奏功しなければ、事案の公表を含む代替措置を検討しなければならないと考えられます。
代替措置としての事案の公表を行う場合の公表すべき内容は、個別の事案ごとに判断されますが、本人へ通知すべき内容を基本とします(以上につき、通則編ガイドライン3-5-4-5)。
なお、代替措置としての事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましいとされています。
A:事案の公表にあたっては、公表することでかえって被害の拡大につながることがないように留意する必要があります。公表内容については、本人へ通知すべき内容を基本としつつ、特定の個人が識別されるおそれがある事項については、公表しないようにすることが考えられます(ガイドラインQ&A6-32)。
A:本人への通知の代替措置として事案の公表を行う場合を除き、事案の公表が義務付けられているものではありませんが、漏えい等事案の内容等に応じて、公表することが望ましいとされています。
なお、二次被害の防止の観点から必要がないと認められる場合や、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、公表を行わないことが考えられます(ガイドラインQ&A6-33)。たとえば、漏えいした個人データがインターネット上に流出している事案において、事案を公表することにより、漏えいした個人データが、本人や無関係の第三者に閲覧されてしまうことなどが予想される場合には、公表することでかえって被害の拡大につながる可能性があると考えられます(ガイドラインパブコメ回答(通則編)No.250も参照)。
このほか、上記4-1のとおり、次のような事例では、「その時点」においては、通知はもちろん、公表を行う必要があるともいえないと考えられます。
事例1
インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合
事例2
漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合
事案の公表によってかえって被害の拡大につながる可能性があると考えられるか否かは、日々刻々と状況が変化するものと考えられます。そのため、とりわけ代替措置としての事案の公表要否を検討するにあたっては、ある一時点においては、かえって被害が拡大するおそれがあると判断することに合理性が認められたとしても、その後の状況の進展に応じ、都度柔軟な判断が求められると考えられます。
本人通知義務に違反した場合の行政処分
個人情報取扱事業者が、報告対象事態が生じたのに本人への通知を行わなかった場合、個人情報保護委員会より勧告・命令・違反事実の公表といった処分がなされる可能性があります。すなわち、違反とされた場合において、個人の権利利益を保護するため必要があると認めるときは「勧告」(法148条1項)、正当な理由なくその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると個人情報保護委員会が認めたときは「命令」がなされることになります(法148条2項)。
また、個人情報取扱事業者等が上記各規定に違反した場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると個人情報保護委員会が認めたときは、「勧告」を前置せず「緊急命令」が行われることになります(法148条3項)。また、個人情報取扱事業者が命令に違反した場合には、その旨が公表されることもあります(法148条4項)。
なお、個人情報保護委員会は、個人情報保護委員会による権限行使について、それが仮に指導(法147条)であったとしても、事案の性質等に応じ、国民への情報提供等(法9条)の観点から、公表を行うことがある点にも留意を要します。
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所