【令和2年改正対応】個人情報が漏えいした場合、本人への通知はどのようにすればよいか

IT・情報セキュリティ

 自社で取り扱う個人情報が漏えいした場合、本人にはどのように通知すればよいでしょうか。

 個人情報保護法施行規則8条では下記の事項を通知するよう定められています。

  1. 概要(個人情報保護法施行規則8条1号)
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目(同条2号)
  3. 原因(同条4号)
  4. 二次被害またはそのおそれの有無およびその内容(同条5号)
  5. その他参考となる事項(同条9号)

 通知の様式は法令上定められていませんが、郵送、電子メールの送付など本人にとって分かりやすい形で通知を行うことが望ましいです。

※本稿における改正法および施行規則の条文番号は、令和3年改正による改正後の条文番号です。

解説

目次

  1. 通知対象となる事態(規則7条、10条、通則編ガイドライン3-5-4-1)
  2. 通知の主体(通則編ガイドライン3-5-4-1)
  3. 通知のタイミング(個人情報保護法施行規則10条、通則編ガイドライン3-5-4-2)
  4. 通知事項(個人情報保護法施行規則10条、通則編ガイドライン3-5-4-3)
  5. 通知の方法(通則編ガイドライン3-5-4-4)
  6. 通知の例外(個人情報保護法26条2項ただし書、通則編ガイドライン3-5-4-5)

通知対象となる事態(規則7条、10条、通則編ガイドライン3-5-4-1)

 個人情報取扱事業者は、報告対象事態(個人情報保護法施行規則7条各号)が生じた場合には、個人情報保護委員会への報告に加え、本人に対しても通知を行う必要があります。

【本人通知が必要となる場合】

  1. 要配慮個人情報が含まれる個人データ漏えい、滅失もしくは毀損(以下「漏えい等」という。)が発生し、または発生したおそれがある事態(個人情報保護法施行規則7条1号)
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データ漏えい等が発生し、または発生したおそれがある事態(例:クレジットカード番号やインターネットバンキングのID・パスワード等の漏えい等の発生またはその発生のおそれ)(同条2号)
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(例:不正アクセスや従業員による持ち出し等)(同条3号)
  4. 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態(同条4号)

 ただし、上記①から④のいずれの場合も、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、本人通知は不要とされています。

 また、「委託元への通知の例外」(個人情報法26条1項ただし書)に該当する場合も本人への通知は不要です。

通知の主体(通則編ガイドライン3-5-4-1)

 通知義務を負う主体は、漏えい等が発生し、または発生したおそれがある個人データを取り扱う個人情報取扱事業者です。

 個人データの取扱いを委託している場合において、委託先が、報告義務を負っている委託元に報告事項(個人情報保護法施行規則8条)のうち、その時点で把握しているものを通知したときは、委託先は報告義務を免除されるとともに、本人への通知義務も免除されます。

通知のタイミング(個人情報保護法施行規則10条、通則編ガイドライン3-5-4-2)

 個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければなりません。

 「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものですが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断します。

 以下の事例1、事例2については、その時点で通知を行う必要があるとはいえないと考えられます。「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはありません。

【報告対象事態を知った時点で通知を行う必要があるとはいえない事例】
事例1
インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合

事例2
漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合

通知事項(個人情報保護法施行規則10条、通則編ガイドライン3-5-4-3)

 本人への通知事項は、当該本人の権利利益を保護するために必要な範囲において以下の事項(個人情報保護委員会への報告事項(個人情報保護法施行規則8条)を通知(規則10条)することとされています。

  1. 概要(個人情報保護法施行規則8条第1号)
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目(同条2号)
  3. 原因(同条4号)
  4. 二次被害またはそのおそれの有無およびその内容(同条5号)
  5. その他参考となる事項(同条9号)

 「その他参考となる事項」(個人情報保護法施行規則8条9号、上記⑤)とは、本人への通知を補完するため、本人にとって参考となる事項をいい、たとえば、本人が自らの権利利益を保護するために取り得る措置が考えられます。

 これらの事項がすべて判明するまで本人への通知をする必要がないというものではなく、本人への通知は、「当該事態の状況に応じて速やかに」行う必要があります(上記3参照)。

 本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものであります。

 また、当初報告対象事態に該当すると判断したものの、その後実際には報告対象事態に該当していなかったことが判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要です。

【本人の権利利益を保護するために必要な範囲において通知を行う事例】
事例1
不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するにあたり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること

事例2
漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること

通知の方法(通則編ガイドライン3-5-4-4)

 「本人への通知」とは、本人に直接知らしめることをいい、事業の性質および個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければなりません。また、本人への通知については、その様式が法令上定められていませんが、本人にとって分かりやすい形で通知を行うことが望ましいです。
 本人への通知の方法として口頭で知らせる方法も可能ですが、本人が口頭で通知を受けた内容を事後的に確認できるようにする観点から、必要に応じて書面または電子メール等による通知を併用することが望ましいと考えられます(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新、以下Q&A)Q6-26)。

【本人への通知の方法の事例】
事例1
文書を郵便等で送付することにより知らせること

事例2
電子メールを送信することにより知らせること

通知の例外(個人情報保護法26条2項ただし書、通則編ガイドライン3-5-4-5)

 本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められます。
 「本人への通知が困難な場合に該当する事例」としては以下のものがあります。

【本人への通知が困難な場合に該当する事例】
事例1
保有する個人データの中に本人の連絡先が含まれていない場合

事例2
連絡先が古いために通知を行う時点で本人へ連絡できない場合

 本人への通知に関し、複数の連絡手段を有している場合において、1つの手段で連絡ができなかったとしても、ただちに「本人への通知が困難である場合」に該当するものではありません。たとえば、本人の連絡先として、住所と電話番号を把握しており、当該住所へ書面を郵送する方法により通知しようとしたものの、本人が居住していないとして当該書面が還付された場合には、別途電話により連絡することが考えられます(Q&A Q6-27)。

 「代替措置に該当する事例」としては以下のものがあります。

【代替措置に該当する事例】
事例1
事案の公表(※1・※2)

事例2
問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること

(※1)代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましいです。

(※2)公表すべき内容は、個別の事案ごとに判断されますが、本人へ通知すべき内容を基本とします。

 代替措置として、事例1の「事案の公表」にあたっては、公表することでかえって被害の拡大につながることがないように留意する必要があります。公表内容については、本人へ通知すべき内容を基本としつつ、特定の個人が識別されるおそれがある事項については、公表しないようにすることが考えられます(Q&A Q6-29)。

 代替措置に該当する事例の事例2「問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにする」場合について、問合せ窓口として、常設している個人情報の取扱いに関する相談を受け付ける窓口を利用することは可能です(Q&A Q6-28)。

 また、本人への通知の代替措置として、事案の公表を行う場合を除き、事案の公表が義務付けられているものではありませんが、漏えい等事案の内容等に応じて、公表することが望ましいと考えられます。なお、二次被害の防止の観点から必要がないと認められる場合や、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、公表を行わないことが考えられます(Q&A Q6-30)。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する