トピックス

2015.12.15
NEWS

マイナンバー情報:特定個人情報の漏えい事案等が発生した場合の対応

(執筆者:渡邉雅之)
 特定個人情報保護委員会(平成28年1月から特定個人情報保護委員会が改組されて個人情報保護委員会になります。)においては、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(平成26 年特定個人情報保護委員会告示第5号。以下「ガイドライン」といいます。)の「(別添)特定個人情報に関する安全管理措置 (事業者編)」の「第3-6 特定個人情報の漏えい事案等が発生した場合の対応」を受けて個人情報保護委員会が定めた「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27 年特定個人情報保護委員会告示第2号、以下「告示」といいます。)においては、事業者における「特定個人情報の漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案」(以下「特定個人情報の漏えい事案等」といいます。)が発覚した場合の対応について定めています。
 ガイドラインでは対象となっていない、特定個人情報の漏えい事案以外の場合(収集制限、利用制限違反等)や漏えいのおそれがある事案なども対象となっているので、取扱規程においては、これらの場合の対応についても定めた方がよいでしょう。

 告示においては、事業者は以下の対応を講ずることが「望ましい」(努力義務)とされています。
(1) 事業者内部における報告、被害の拡大防止 責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明 事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合 には、その原因の究明を行う。
(3) 影響範囲の特定 (2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施 (2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り 得る状態に置く。
(6) 事実関係、再発防止策等の公表 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係及び再発防止策等について、速やかに公表する。

 「(1) 事業者内部における報告、被害の拡大防止 」は、いわゆるインシデント・レスポンスのことです。具体的には、外部からの不正アクセスや不正プログラムの感染が疑われる場合に は、当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措 置を直ちに行うこと等が考えられます。
 「(3) 影響範囲の特定」にある「把握した事実関係による影響の範囲を特定 する」とは、例えば、漏えい事案の場合は、漏えいした特定個 人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏 まえ、影響の範囲を特定することが考えられます。
 「(5) 影響を受ける可能性のある本人への連絡等」にある「本人が容易に知 り得る状態に置く」とは、本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置 による対応などが考えられます。
 「(5) 影響を受ける可能性のある本人への連絡等」及び「(6) 事実関係、再 発防止策等の公表」について、「事案の内容等に応じて」とされていますが、例えば、紛失したデータを第三者に見られることなく速やかに回収した場合 や高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が 侵害されていないと認められる場合等には、本人への連絡等や公表を省略することも 考えられます。

 当局への報告に関しては、「個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合」には、事業者が個人情報保護法上の個人情報取扱事業者に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告することになります。個人番号の利用制限違反など番号法固有の規定に関する事案等の場合には、個人情報保護委員会に速やかに報告することを要します。
 ① 影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)、② 外部に漏えいしていないと判断される場合、③ 事実関係の調査を了し、再発防止策を決定している場合、④後述の「重大事態」に該当しない場合、という全ての要件を満たす場合には、報告することを要しません。

 平成28年1月1日施行の法改正により、番号法違反の事案又は番号法違反のおそれのある事案のうち、重大事態に該当する事案については、事業者は、番号法第28 条の4の規定に基づき、規則の規定に従って個人情報保護委員会に報告する義務を負うことになります
 個人情報保護委員会が制定予定(パブリックコメントが終わり間もなく公布予定です。)の「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(以下「規則」といいます。)において、「重大事態」とは、①情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報等が漏えいし、滅失し、又は毀損した事態、②漏えいし、滅失し、又は毀損した特定個人情報や利用制限違反や提供制限違反の特定個人情報に係る本人の数が100人を超える事態、③保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態、④不正の目的をもって、個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を利用し、又は提供した者がいる事態、と定められています。報告の方法については、規則において定められています。
 これとは別に、告示においては、事業者は、重大事態に該当する事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を個人情報保護委員会に報告するよう努めることとされています。
 すなわち、事業者は、「重大事態に該当する事案又はそのおそれのある事案」が発覚した場合には、告示に基づき、第一報として直ちに個人情報保護委員会に報告する努力義務を負い、「重大事態」が発生した場合には規則に基づいて個人情報保護委員会に報告する義務を負うことになります。