第570号コラム:小向 太郎 理事(日本大学 危機管理学部 教授)
題:「個人情報保護法の『いわゆる3年ごと見直し』とデータ侵害通知」
個人情報保護法の見直しが検討されている。2015年の個人情報保護法改正では、施行後3年ごとに施行の状況を確認して、必要に応じて所要の措置を講じることが、附則(第12条3項)に定められた。この附則を受ける形で、個人情報保護委員会が現在行っているのが、「いわゆる3年ごと見直し」の検討である。
ところで、日本の個人情報保護制度は、十分なレベルの個人データ保護を保障しているという十分性認定の決定を、欧州委員会から2019年1月に受けた。EUは、個人情報保護が十分になされていない国への個人情報の移転を原則として禁止しているが、この十分性認定によってEUからの越境データ移転が可能になっている。決定にいたる過程では、EU側から日本の制度についてさまざまな指摘がなされており、2年後には再評価が行われる予定である。個人情報保護委員会が公表している「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(2019年4月25日)を見ると、EUのGDPR(一般データ保護規則)を中心として他国の制度との比較がされており、この再評価も強く意識したものであることが分かる。
個人情報保護委員会は、見直しに関するヒアリングを実施しており、私も有識者ヒアリングで意見を述べている。ヒアリングでは、特に自分として強く問題意識を持っていることを、利用停止等、匿名加工、域外適用の3点に絞って説明した。この内容については、委員会のウェブサイトで公開されているのでそちらをご覧いただければ幸いである。
このなかでは触れなかったのだが、「中間整理」のなかで、具体的な制度の導入に比較的ポジティブな表現が使われているものとして「漏えい報告の義務付け(24ページ)」がある。こうした漏えい報告に関する制度は、よく「データ侵害通知」と呼ばれており、米国のカリフォルニア州で最初に導入され、GDPRにも監督機関に対する個人データ侵害の通知(第33条)とデータ主体に対する個人データ侵害の連絡(第34条)に関する規定が導入されている。
現行の個人情報保護法には、個人データが漏えいした場合の本人や監督機関への通知等は義務付けられていない。しかし、個人データの漏えい等が発生した場合には、「影響を受ける可能性のある本人への連絡等」、「事実関係及び再発防止策等の公表」、「個人情報保護委員会等への報告」が推奨されている(「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号))。
実際に、すでにかなりの企業が漏えい報告をしている。もう少しはっきり言えば、まともな企業はわりとこまめに報告等を行っているので、義務化されてもあまり負担が増えないと感じていると思う。一方で、対応していない企業は、表立って反対しにくいだろう。これを義務化することには、比較的抵抗が少ないと予想される。
データ侵害通知の義務化自体は良いとしても、この制度の位置づけや運用方法については、注意が必要である。そもそも、こうしたデータ侵害通知は、何のために行うのだろうか。連絡や報告を推奨している個人情報保護委員会の告示では、「二次被害の防止、類似事案の発生防止等の観点から」行うものとされている。確かにそのとおりであるが、ともすると、個人情報漏えいを起こした企業に対するサンクションのように考えられていないだろうか。
この制度は、むしろ漏えいやインシデントが生じたときの対応を向上させるためのものでなくてはならない。漏えいを生じた企業を晒し者にするような効果を後押しするために義務化するのであれば、あまり意味がない。情報漏えい等のインシデントに対応する際に取得した情報は、情報漏えい発生後の対応にも有効に活用できる可能性がある。どのような情報が漏えいした可能性が高いのか、攻撃者としてどのような者が想定されるかといった情報は、情報セキュリティ対策や犯罪被害防止に役立てることも重要である。
なお、例えば、ペイメントカード等の情報が漏れた場合には、それを管理している事業者(銀行、クレジットカード会社、発行会社等)に情報が共有されることで、有効な対応が可能になる場合がありうる。これ以外にも、情報漏えいによって危険な状況にある個人を、守れる立場の者は存在しうるであろう。現行の個人情報制度では、このような情報の利用や共有が難しい可能性がある。個人データの第三者提供には原則として本人の同意が必要であり、インシデント対応はその他の例外事由(第23条)には基本的に該当しない場合も多いと考えられるからである。こうした制度上の課題については、前述の有識者ヒアリングでも述べている。
今後も漏えいは必ず起こる。データ侵害通知の制度には、企業等が情報漏えいを起こさないように注意喚起をする効果ももちろんあるが、むしろ情報の提供によって事前・事後両方における対応を促すことの方が重要である。漏えいした事実だけをとらえて、結果責任を問うような風潮が強いが、その企業等がどれくらいの対策を行っていたのか、漏えいに際してどのような対応を取ったかを評価すべきである。そういったことも考慮して、対応をうながすことにつながるような制度にすべきであろう。
【著作権は、小向氏に属します】