第671号コラム:北條 孝佳 幹事(西村あさひ法律事務所 弁護士)
題:「令和2年改正個人情報保護法と個人データ漏えい対応」

1 令和2年改正個人情報保護法

 令和2年に個人情報保護法が改正され(以下「改正法」という。)、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会等への報告及び本人への通知等が法律上の義務とされた。個人の権利利益を害するおそれが大きい場合とは、2021年3月24日個人情報保護委員会規則1号によって個人情報保護法施行規則が改正され(以下「改正規則」という。)、その中に定められている。改正規則を定めるに当たって意見募集が行われ、その結果が2021年3月24日に公表された(※1)。同年5月19日に、個人情報保護法のガイドライン(通則編)の一部を改正する告示案(以下「改正告示案」という。)が公表され(※2)、同年6月18日までの間、意見募集が行われた。なお、改正法及び改正規則の施行期日は、2022年4月1日となっている。

 2022年の施行に向けた対策に活用していただきたく、本稿では、上記の規則案が公表された際の意見募集の結果及び改正告示案を踏まえ、インシデント対応の際に個人情報取扱事業者として考慮しておくべき事項について解説する。なお、2021年5月19日にも条文番号の変更を伴う大幅な改正が公布されたため、本稿では条文番号を記載しないこととする。

2 個人データの漏えい等発生時の義務及び報告対象事態

 改正法によって、個人情報取扱事業者は、取り扱う個人データの漏えい、滅失、毀損(以下「漏えい等」という。)その他の個人データの安全の確保に係る個人情報保護委員会規則で定める事態が生じたときは、個人情報保護委員会等に報告する義務が規定された。また、個人情報取扱事業者は、個人情報保護委員会等への報告義務の対象となる事態が生じた場合、原則として、本人に対し、上記事態が生じた旨を通知する義務が規定された。

 個人の権利利益を害するおそれが大きいものとして、改正規則では以下の4つが定められている(カッコ書きは改正規則の概要における略称)。

 ①要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(要配慮個人情報)

 ②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(財産的被害が発生するおそれがある場合)

 ③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(不正アクセス等故意によるもの)

 ④個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態(1,000人を超える漏えい等)

 個人情報取扱事業者は、①から④までに掲げる事態(以下「報告対象事態」という。)を知ったときは、個人情報保護委員会等に報告する義務及び本人への通知等義務が必要となる。なお、報告対象事態に該当しない漏えい等事案であっても、任意の報告ができるため、報告対象事態に該当するかの判断が不明又は曖昧な場合には、任意の報告をする選択も可能である。

3 個人データの漏えい等

 漏えい等とは、漏えい、滅失又は毀損のことを指す。これらの定義と事例について解説する。

 まず、「漏えい」とは、個人データが外部に流出することをいう。事例としては、システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合、不正アクセス等により第三者に個人データを含む情報が窃取された場合などが該当する。ただし、これらの事態が生じたとしても第三者に閲覧されないうちにすべてを回収した場合は「漏えい」に該当しない。

 次に、「滅失」とは、個人データの内容が失われることをいう。事例としては、個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合、個人データが記載又は記録された書類・媒体等を社内で紛失した場合などが該当する。なお、帳票等が適切に廃棄されていない場合には、個人データの「漏えい」に該当し得る。

 最後に、「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。事例としては、個人データの内容が改ざんされた場合、ランサムウェア等により個人データが暗号化され、復元できなくなった場合などが該当する。もっとも、これらの事態であっても、バックアップデータがあれば、「毀損」に該当しない。また、昨今のランサムウェアは、暗号化と同時にデータを窃取して暗号資産を支払わなければ公表するとの恐喝を行うものが増加しており、この場合には、個人データの「毀損」に加え「漏えい」にも該当する。

 なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化その他の個人の権利利益を保護するために必要な措置が講じられている場合には、報告は不要である。

4 報告対象事態の事例

 2で述べた4つの報告対象事態の事例について紹介する。

 ①は、従業員の健康診断等の結果を含む個人データが漏えいした場合などが該当する。

 ②は、ECサイトからクレジットカード番号を含む個人データが漏えいした場合、送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合などが該当する。

 ③は、不正アクセスにより個人データが漏えいした場合、ランサムウェア等により個人データが暗号化され、復元できなくなった場合、従業者が顧客の個人データを不正に持ち出して第三者に提供した場合などが該当する。なお、サイバー攻撃の事案については、より詳細な事例が改正告示案にて紹介されている。「漏えい」が発生したおそれがある事態に該当し得る事例としては、(ア)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、外部からの不正アクセスによりデータが窃取された痕跡が認められた場合、(イ)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合、(ウ)マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDN(Fully Qualified Domain Nameの略)への通信が確認された場合、(エ)不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合などが該当し得る。

 ④は、システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合などが該当する。なお、事態を把握した当初は1,000人に満たないと考えられていたが、後の調査で1,000人を超えた場合には、超えた時点で④に該当すると考えられる。

 報告対象事態における発生した「おそれ」とは、その時点で判明している事実関係からして、漏えい等が疑われるものの確証がない場合がこれに該当するとされ、かなり広範囲の事態が「おそれ」に該当することになると考えられる。

5 個人情報保護委員会等への報告

 個人情報取扱事業者が報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければならないが、報告を受理する権限が事業所管大臣に委任されている場合には、当該事業所管大臣に報告する。

 報告期限の起算点となる「知った」時点について、いずれかの部署が当該事態を知った時点が基準になる。また、「速やか」の日数の目安は、概ね3~5日以内とされている。

 個人情報保護委員会へ報告しなければならない項目は省略するが、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行うので、抜けや漏れは生じないと考えられる。なお、速報時の報告内容は、報告時点において把握している内容を報告すれば足りる。

 速報に加え、報告対象事態を知ったときから、30日以内(前述③の事態は60日以内)に個人情報保護委員会又は事業所管大臣に確報を報告しなければならない。 なお、個人情報取扱事業者は、合理的な努力を尽くした上で、報告の時点で把握している内容を報告した場合には、その後、報告内容が客観的に誤っていることが判明したとしても、報告義務違反には該当しないと考えられる。また、確報時は全ての事項を報告しなければならないが、合理的な努力を尽くした上で、報告期限までに一部の事項が判明していない場合には、その時点で把握している内容を報告し、判明次第、報告を追完することが考えられる。

6 本人への通知等

 個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければならない。ただし、本人に通知することで、かえって被害が拡大するおそれがある場合や、漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合には、この時点においては、本人への通知を行う必要はないと考えられる。

 本人に通知すべき事項は、(ア)概要、(イ)漏えい等が発生し、又は発生したおそれがある個人データの項目、(ウ)原因、(エ)二次被害又はそのおそれの有無及びその内容、(オ)その他参考となる事項である。本人への通知の様式が法令上定められていないため、文書を郵便等で送付すること、電子メールを送信すること等であっても構わない。

 本人への通知を要する場合であっても、本人への通知が困難な場合は、本人の権利利益を保護するために必要な代替措置を講ずることが認められる。代替措置は、事案の公表や問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにする方法などがある。

7 規定違反の場合

 個人情報保護法上、個人データの漏えい等が発生した又は発生したおそれのある一定の事態の場合に、個人情報保護委員会等への報告及び本人への通知等義務が課されることとなっている。これによって、当該義務に違反すると判断され、個人情報保護委員会が、個人の権利利益を保護するため必要があると認めた場合には講ずべき期間を定めた勧告が、正当な理由なく勧告に係る措置を講じなかった場合に個人の重大な権利利益の侵害が切迫していると認めた場合には講ずべき期間を定めた命令が、それぞれ発せられる。発せられた命令に係る措置が講じられない場合は、公表の対象となることや罰則(個人の場合は1年以下の懲役又は100万円以下の罰金、法人の場合は1億円以下の罰金刑)が適用される。

 また、個人情報保護委員会は、事案の性質等に応じ、国民への情報提供等の観点から、権限行使についての公表が行われることもある。

 以上、本稿は、改正法及び改正告示案に基づいて個人情報保護委員会等への報告義務及び本人への通知等義務を解説した。他にも新たに、報告対象事態の場合には、本人による利用停止若しくは消去又は第三者への提供の停止請求権が規定されたため、各自確認し、2022年の施行に向けた体制を整備していただきたい。

※1:2021年3月24日改正規則に関する意見募集結果
※2:2021年5月19日個人情報保護法ガイドライン(通則編)の一部を改正する告示(案)

【著作権は、北條氏に属します】