第721号コラム:小向 太郎 理事(中央大学 国際情報学部 教授)
題:「漏えい等報告制度の開始」

2022年4月1日から、個人情報取扱事業者に、個人情報漏えい等の報告が義務付けられることになった。一定の基準以上の情報の漏えい等が生じた場合には、個人情報保護委員会への報告と、可能な場合には本人への通知することが求められる(第26条)。

このような制度は「データ侵害通知」とよばれ、米国のカリフォルニア州で最初に導入されたといわれている。現在では、同様の制度が、米国のほとんどの州で導入されており、EUの一般データ保護規則(GDPR)にも盛り込まれている。制度の本来の目的は、透明性の向上であり、個人情報の漏えい等が生じた際に、被害の拡大防止影響範囲の把握、再発防止に寄与する情報を得ることである。

しかし、データ侵害通知の制度は、企業の側からすると、サンクションのようなものとして意識される面がある。個人情報の漏えいが発生すると、漏えいを起こした企業を強く非難するトーンで報道が行われる。もちろん、企業にとって大きなダメージになる。データ侵害を個人情報保護委員会に報告したり、本人に通知することが、こうしたダメージにつながったり、増幅したりするのではないかという懸念を持っている企業は多い。情報を漏えいした企業が、どのような取り組みをしていたのかを度外視してバッシングされるのであれば、隠蔽する誘惑に抗えない者も出てくるだろう。

企業が情報漏えいを起こさないように努力しなければならないのは当然である。情報漏えいによって、自分が知らないうちに,思いもかけないような形で自分のことを知られてしまうことに、恐怖や不安を感じる人は多い。それはそうだとしても、情報の漏えいを絶対に起こさないような対策は本当に可能だろうか。確かに、漏えいが起こっている以上、企業の情報セキュリティ対策が完璧なものだったとはいえないかも知れない。しかし、例えば悪意のある攻撃者が情報を奪取しようとしているような場合も考えれば、情報漏えいを絶対に起こさない対策を取ることは、現実には不可能である。

重要なのは、情報の漏えいがありうることを前提に、どうしたらその被害を最小化できるのかを考えることである。そのためには、情報利用の仕組みや漏えい後の対策も含めてトータルで対策を考える必要がある。データ侵害通知は、本来は、このような対策を促進するために、透明性を高めるための制度である。

最近、米国を代表する二人のプライバシー研究者が、「Breached!(データ侵害)」という共著(Daniel Solove, Woodrow Hartzog: BREACHED! WHY DATA SECURITY LAW FAILS AND HOW TO IMPROVE IT, Oxford University Press)を出版した。この書籍でも、情報管理者を責めるだけの制度は機能しないことや、データ侵害通知が過度な負担にならないように注意すべきだということが指摘されている。

個人情報保護委員会では、ホームページや動画で、企業に対する啓発を行っている。漏えい等が発生した場合の対応やどのように報告を行わなければならないかを説明し、あわせてそもそもどのような対策を取るべきだったのかについて解説している。こうした説明ももちろん大切であるが、報告に基づいて今後の対策に協力が得られることや、真摯に対応を行う企業に対してはサンクションが行われないと伝えることも、必要ではないだろうか。

繰り返しになるが、情報漏えいを完全になくすことはできない。漏洩した個人情報の危険を減らすことを考える事が重要である。そのためには、報告や通知をサンクションにしてはならない。制度の目的が、被害の拡大防止や再発防止であることを、明確にすべきである。

【著作権は、小向氏に属します】