知って得する！話題のトレンドワード（第7回）ポイント解説！スッキリわかる「漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化」

公開日：2023.10.20

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　いま話題のトレンドワードをご紹介する本企画。第7回のテーマは、「漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化」です。言葉の意味、そしてその背景や関連する出来事を解説していきます。みなさまのご理解の一助となれば幸いです。

「漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化」とは
2022（令和4）年4月1日から、個人データの漏えい、滅失もしくは毀損（以下「漏えい等」と記述）が発生し、個人の権利や利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人通知が必要となりました。現在、すべての個人情報取扱事業者において、こうした事態が起きたときは、速やかに個人情報保護委員会へ報告（速報）、続いて30日以内に確実な報告（確報）を行い、併せてわかりやすい方法で本人に事態の内容を通知する義務があります。万が一の際に慌てないよう、その内容を知っておきましょう。

企業に与えるインパクトは？

　個人情報を扱う事業者（個人情報取扱事業者）において、「漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知」が個人情報保護法の2回目の改正で義務化された。改正前は「個人情報保護委員会に報告および本人通知するよう努める」、いわゆる「努力義務」でした。これが「漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化する」形に変更されました。その概要は個人情報保護委員会のチラシ「漏えい等報告・本人への通知が義務化されます」がわかりやすいでしょう。

　さて、チラシにもある「個人の権利利益を害するおそれが大きい場合」はどのような事象でしょうか。これらは「個人情報の保護に関する法律施行規則」の第7条に「個人の権利利益を害するおそれが大きいもの」として掲げられている4事項になります。ひとつずつ見ていきましょう。

漏えい等報告の義務化の対象事案（委員会規則で定める要件）

①要配慮個人情報の漏えい等
要配慮個人情報が含まれる個人データの漏えい等が発生、または発生したおそれがある事態。要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報の他、本人に不当・偏見が生じないよう、特に配慮が必要な情報をさす。例えば、病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合、従業員の健康診断などの結果を含む個人データが漏えいした場合など。

②財産的被害のおそれがある漏えい等
個人データが不正に利用されることなどで、本人の財産に被害を与えるおそれのある漏えい。例えば、送金や決済機能のあるWebサービスなどでログインIDとパスワードの組み合わせを含む個人データが漏えいした場合、ECサイトからクレジットカード番号を含む個人データが漏えいした場合など（なお、クレジットカード番号の下4桁と有効期限の組み合わせ、もしくは住所、電話番号、メールアドレス、SNS アカウント、銀行口座情報の組み合わせのような、直接財産的被害をもたらさない個人データのみの漏えいは、直ちにこれには該当しない）。

③不正の目的によるおそれがある漏えい等
不正の目的をもって行われたおそれがある漏えいなどの事態。例えば、個人データを格納しているサーバーなどに外部からの不正アクセスにより個人情報を含むデータが窃取された場合、マルウエアに感染したコンピューターに不正な指令を送られたなどの通信が確認された場合、第三者から漏えいのおそれで連絡を受けた場合、ランサムウエアなどにより個人データが暗号化され復元できなくなった場合、個人データまたは個人情報が記録された書類・媒体が盗難された場合、従業員が顧客の個人データを不正に持ち出して第三者に提供した場合など。

④1000件を超える漏えい等
個人データにかかわる本人の数が1000件を超える漏えい、またはそのおそれがあるとき。システムの設定ミスなどで、ネット上で1000件を超える個人データの閲覧が可能な状態となった場合、1000人を超える会員にメールマガジンを配信する際に本来メールアドレスをBCC欄に入力して送信すべきところをCC欄に入力し一括送信してしまった場合など。

　もしこれらの事態が確認された場合、もしくは「おそれ」があると思われる場合、どのように報告を行えばよいのでしょうか。この点について詳しくは、個人情報保護委員会の「漏えい等の対応とお役立ち資料」が参考になります。報告については、ページ下側の報告フォームから行います。報告の際は、注意事項や記載例をよく読み、正しく報告を行いましょう。

報告は「速報」「確報」の2回（「確報」では追加報告も行える）、速報は事態の認知から3～5日以内、確報は30日以内に行う。

①速報
報告をしようとする時点において、把握している内容を報告する。報告は、報告対象の事態を知ってから「速やかに」（個別の事案によるが、事態を知った時点からおおむね3～5日以内）行う。

②確報
報告対象の事態を知ってから30日以内（不正の目的によるおそれがある漏えい等の場合は60日以内）に、全ての事項を報告する。全ての事項を報告できない場合は、判明次第、報告を追完する。

　個人情報保護委員会への報告に併せて、状況に応じて速やかに、概要、個人データの項目、原因、などの内容を本人に、分かりやすい方法（文書の郵送、メールの送信など）で行う必要があります。なお、本人への通知が困難な場合は、ホームページなどでの公表、問い合わせ窓口の設置などで代替することもできます。

　報告後の流れですが、個人データの漏えい等の事案報告を行ってからは、個人情報保護委員会からヒアリングや資料の確認などの調査が行われ、さらに必要に応じて報告徴収や立ち入り調査が行われます。それらの結果、違法とまでいかない場合は「指導・助言」、法令違反があり個人の権利利益を保護する必要があるときは「勧告」、勧告に従わない場合は「命令」を行うという流れです。ただし法令違反があり緊急に措置を取る必要があると認めるときは「緊急命令」が出されます。なお、命令に違反した場合は懲役または罰金が科されます。

これから予測される課題は？

　個人情報の漏えい等の事案は、こちらに準備ができている・いないにかかわらず突然発生します。しかも発生時には、事態を収拾しなければならない状況のなかで「速やかに」報告する必要があります。インシデント対応については、政府インターネットテレビ「個人データの漏えい等事案と発生時の対応について」を見ておくと役立ちます。

　現代社会は、ビジネスや生活などあらゆる面において大いにデジタル化が進む方向です。この中でITの発展とともに個人情報漏えいのリスクもどんどん高まっているとされます。普段から、もしくは余裕があるときに、個人情報漏えい対策を準備しておくのがおすすめです。

　また、個人情報保護法の第23条に「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」とありますが、個人情報の漏えい等の事案は、この「安全管理のために必要かつ適切な措置」の不備により発生するケースが多いといわれます。安全管理のための措置には、自社のセキュリティ対策はもちろん、個人データを置くサーバーやストレージもしくは端末の管理、インシデント対応手順を話し合ったりマニュアル化したりしておく、社内のリテラシーや意識の向上など、あらゆる面からの対策が必要です。自社のみで対応が難しい場合は、ベンダーや有識者、相談機関などに声掛けするのもよいでしょう。世の中にはさまざまなソリューションもあるので、自社の状況に合ったものを導入するのもおすすめです。

※掲載している情報は、記事執筆時点のものです

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

執筆＝青木恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム（バックナンバーあり）。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワードこれが気になる！」「知って得する！話題のトレンドワード」を好評連載中。

【T】

あわせて読みたい記事

知って得する！話題のトレンドワード（第6回）
ポイント解説！スッキリわかる「個人情報」
業務課題法・制度対応
2023.10.19
覚えておきたいオフィス・ビジネス情報のキホン（第10回）
個人情報保護法が改正、企業はどう対応策を講じれば良いのか？
業務課題法・制度対応デジタル化
2023.01.31
IT時事ネタキーワード「これが気になる！」（第92回）
2022年4月施行の「改正個人情報保護法」って？
業務課題法・制度対応
2022.03.16