個人情報が漏えい、またはそのおそれがある場合、一定の要件に当てはまると、個人情報保護委員会への報告や本人への通知が義務付けられます。

事態の把握から3~5日以内に速報、原則30日以内に確報を行う必要があり、迅速な対応が求められます。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

  個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

  平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

   個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人情報保護委員会への報告が義務付けられているケース

1 報告義務のある4つのケース

個人情報の漏えい、滅失、または毀損(以下、「漏えい等」とします。)が発生した際に、個人情報保護委員会への報告が法律で義務付けられているのは、以下の4つのケースのいずれかに該当する場合です。

(1) 要配慮個人情報の漏えい

病歴、信条、犯罪歴、健康診断結果など、不当な差別や偏見を生じさせる可能性がある情報の漏えい等があった場合には、仮に1件だけだったとしても、報告の義務があります。

(2) 財産的被害のおそれ

クレジットカード番号と有効期限のセット、送金・決済機能のあるサイトのログインIDとパスワードなど、財産的被害が生じるおそれがある情報の漏えい等があった場合には、仮に1件だけだったとしても、報告の義務があります。

(3) 不正目的による漏えい

サイバー攻撃(不正アクセス、ランサムウェア)、従業員による顧客データの持ち出しなどが発生した場合には、1件でも報告義務があります。

(4) 1000人分を超える漏えい

情報の多寡や内容にかかわらず、1000人を超える(1001人以上)の個人データが漏えいした場合には、報告義務があります。

2 漏えいした「かもしれない」場合は?

 上記のような事例で、「漏えいしたか、漏えいしていないか、わからない」というようなケースもあると思います。

 そのようなケースでは、はっきりしたことがわかるまでは報告しなくて良いと考える方もいますが、それは間違いです。

 法律上は、漏えい等が「発生したおそれがある事態」でも、報告義務があると定めています。

 そのため、「漏えいしたか、漏えいしていないか、わからない」のであれば、報告義務がありますので、注意が必要です。

第3 報告のスケジュールや内容など

1 報告のスケジュール

 個人情報保護委員会への報告は、「速報」と「確報」の2段階でおこないます。

 速報は、事態を把握してからおおむね3〜5日以内に、その時点でわかっている範囲の内容を速やかに報告するものです。

 一方で、確報とは、事態を把握してから30日以内(不正目的による漏えい等の場合は60日以内)に、詳細な調査結果を報告することになります。

2 報告の内容

 個人情報保護委員会へ報告する内容は、以下のとおりです。

①概要
②漏えい等が発生し、又は発生したおそれがある個人データの項目
③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
④原因
⑤二次被害又はそのおそれの有無及びその内容
⑥本人への対応の実施状況
⑦公表の実施状況
⑧再発防止のための措置
⑨その他参考となる事項

 報告は、個人情報保護委員会のウェブサイト上からおこなうことができます。

3 本人への通知

漏えい等の事案が発生した場合には、個人情報保護委員会への報告だけでなく、本人への通知も行う必要があります。

この本人への通知は、速やかに行われなければなりません。二次被害を防ぐなどの目的のためです。具体的に通知を行う時点は、個別の事案に応じて判断されます。

第4 最後に

個人の権利利益が侵害されるおそれの大きい漏えい等の事態については、個人情報保護委員会への報告が義務付けられており、かつ、本人への通知も必要になります。

また、場合によってはマスコミ等により大きく報道されることもあります。迅速かつ適切に対応しなければ、企業にとって致命的なダメージとなる可能性すらあります。

個人情報の漏えい等の事案についてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。

ご相談
グリーンリーフ法律事務所は、設立以来35年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
  ※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら