トピックス

2019.12.31
NEWS

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~

 令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。制度改正大綱に基づく内容について、令和2年(2020年)通常国会に個人情報の保護に関する法律(以下「個人情報保護法」という。)の改正法案が提出される予定である。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第4回は、「漏えい等報告及び本人通知の義務化」について解説する。
 
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
 (関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』

執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
第1.端末識別子等の取扱い(制度改正大綱第3章第2節「漏えい等報告及び本人通知の義務化」)(14頁~16頁)
 
【改正の方向性】
  1. 報告の義務化
    • 漏えい等報告について、法令上の義務として明記する(現行個人情報保護法では、個人情報の漏えいの報告は努力義務)。
  2. 対象事案
    • 改正法により、一定数以上の個人データ漏えい要配慮個人情報の漏えい等、一定の類型に該当する場合に限定して、速やかに委員会へ報告することを義務付ける。
(3)報告の期限
  • 明確な時間的な制限は設けないものの、報告内容を一定程度限定した上で「速やか」に報告することを義務付ける。(速報)
  • 速報とは別に、一定の期限までに確報として報告を求める。(確報)
(4)報告先
  • 漏えい等報告先は委員会又は権限委任官庁への提出に限定する。(現行個人情報保護法上は、一定の場合、委員会以外に、権限委任官庁及び認定個人情報保護団体に対して提出することを認めている。)
(5)本人への通知
  • (1)の報告対象事案については、原則として本人への通知を義務付ける。
  • 本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときについては、例外規定を置く。
 
【制度改正大綱の内容】
第2節 事業者の守るべき責務の在り方
1.漏えい等報告及び本人通知の義務化
(1)基本的考え方
〇 漏えい等報告は、委員会が漏えい等事案を把握し、個人の権利利益の保護を図るためのいわば情報源である。個々の事業者を適切に監督するというだけでなく、当局が、事業者が参考にすべき情報を積極的に事業者に対して発信したり、助言したりすることによって、他の多くの事業者の適切な対応につなげていくという意義も大きい。
〇 諸外国においては、多くの国で漏えい等報告が義務とされている。一方、我が国では、制度上は努力義務であるが、漏えい等報告について、多くの企業でしっかり対応されており、これは、我が国の事業者の個人情報保護に対する意識が浸透しつつある証左とも考えられる。
〇 一方で、漏えい等報告は法令上の義務ではないため、積極的に対応しない事業者も一部に存在しており、仮に、事業者側が公表もしない場合、委員会が事案を把握できないまま、適切な対応が行えないおそれもある。
〇 また、事業者側から見ても、漏えい等報告について、一定の軽減措置を設けることを前提に、法令上明確に位置付けた方が、企業側が報告の要否に係る判断に迷わないといった面もある。
〇 加えて、国際的な議論の潮流の観点からしても、世界プライバシー会議(Global Privacy Assembly5)やOECDといった多国間での枠組みで、各国の漏えい等報告の状況を当局間で共有し、効率的な執行を目指すという方向で議論が行われている状況も考慮する必要がある。
 (脚注5)2019年10月に開催された第41 回データ保護プライバシー・コミッショナー国際会議(International Conference of Data Protection and Privacy Commissioners (ICDPPC))の結果により、2019 年11 月15 日から会議の名称がGlobal Privacy Assembly へ変更された。
〇 中間整理の意見募集では、漏えい等報告を法令上義務化することには賛否共に多くの意見が寄せられたが、漏えい等報告が個人情報の本人、個人情報取扱事業者、監督機関それぞれにとって多くの意義があること、国際的な潮流になっていること等を勘案する必要がある。このため、漏えい等報告について、法令上の義務として明記することとする。
(2)報告対象となる事案
〇 漏えい等報告について、諸外国の立法例では法令上の義務としているものが多いが、報告義務の対象となる事案期限軽減措置本人への通知等において、多様な状況にある。これら諸外国の立法例も参考としつつも、我が国の制度の在り方はどうあるべきか、影響や実効性等も勘案しながら、検討を行った。
〇 中間整理の意見募集では、仮に法令上義務化する際は、企業の実行可能性等を踏まえた検討や報告対象事案の限定を求める意見が多く寄せられた。また、報告の時間的限定については、否定的意見が多かったほか、漏えい等報告について、報告先の一元化を求める意見、本人の通知について、義務付ける必要性は高くないとの意見もあった。
〇 漏えい等報告の義務化に当たっては、こうした意見を踏まえた上で、制度整備を行う必要があり、軽微な事案についても全て報告を求めることは、報告対象となる事業者の負担、及び報告を受領する執行機関にとっての有用性の観点から疑問がある。
〇 以上の点を踏まえ、一定数以上の個人データ漏えい、要配慮個人情報の漏えい等、一定の類型に該当する場合に限定して、速やかに委員会へ報告することを義務付けることとする。
(3)報告の期限、報告先等
〇 漏えい等の報告については、委員会がその事態を把握し、必要な措置を講ずるという趣旨に鑑み、速やかに行われる必要がある一方、事業者が事態を把握するのに要する時間については、個別具体的な事情によるところが大きく、一律に日数を規定することは困難である。そのため、明確な時間的な制限は設けないものの、報告内容を一定程度限定した上で「速やか」に報告することを義務付けることとする。
〇 他方で、原因や再発防止策等の報告を求める必要もあることから、運用上、上記の速報とは別に、一定の期限までに確報として報告を求めることとする。
〇 なお、現行の制度では、漏えい等報告の報告先については、一定の場合、委員会以外に、権限委任官庁及び認定個人情報保護団体に対して提出することを認めている。これについては、中間整理の意見募集では、報告先の一元化を求める意見が寄せられたこと、今回、法令上の義務とすることに鑑み、委員会又は権限委任官庁への提出に限定することとする。
(4)本人への通知
〇 個人データの漏えい等が発生した場合に、その旨を本人に通知することで、本人が二次被害の防止を行ったり、必要な権利を行使するなど、自ら適切な措置を講じることができる。そこで、個人情報取扱事業者は、(2)に記載した報告の対象となる場合、原則として本人に通知しなければならないものとする。
〇 一方で、個人データの漏えい等が発生した場合であっても、実際、本人に対する通知が困難な場合がある。具体的には、把握している個人データに、本人に対する連絡先がそもそも含まれていない場合や、把握している情報が古いために、本人に対する連絡ができない場合が想定される。本人に対する通知は可能な限り行うべきであるが、保有している情報に基づいて本人に対する通知ができない場合にまで、本人の現在の連絡先を特定した上で、本人に対する連絡を求めることは、事業者に過度な負担を課すこととなる。
〇 ただし、本人に対する通知が困難な場合であっても、個人情報取扱事業者としては、個人の権利利益に配慮し、公表を行い問合せに応じるなど代替的な措置を講じることは可能である。したがって、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときについては、例外規定を置くこととする。
【「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」[2]の内容】
第2節 漏えい報告の在り方
1.我が国における現状
(1)規定
〇 個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、委員会等に対し、速やかに報告するよう努めることとされている。これは、個人情報保護法第20条に規定する個人データの安全管理措置義務の一環として、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)に基づくものである。
(2)対象
〇 現在の告示では、対象事案について、以下の①から③までのいずれかに該当する事案(以下「漏えい等事案」という。)を対象としている。
① 個人情報取扱事業者が保有する個人データの漏えい、滅失又は毀損
② 個人情報取扱事業者が保有する加工方法等情報の漏えい
③ 上記①又は②のおそれ
〇 また、漏えい等事案が発覚した場合に講ずべき措置として、以下が規定されている。
① 事業者内部における報告及び被害の拡大防止
② 事実関係の調査及び原因の究明
③ 影響範囲の特定
④ 再発防止策の検討及び実施
⑤ 影響を受ける可能性のある本人への連絡等
⑥ 事実関係及び再発防止策等の公表
〇 なお、①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合、又は、②FAX若しくはメールの誤送信又は荷物の誤配等のうち軽微なものの場合、のいずれかに該当する場合は、報告を要しないこととしている。
(3)漏えい報告に係る執行の状況
〇 委員会が受領した漏えい報告の件数は、平成29年度は3,338件、平成30年度上半期は2,191件となっている。漏えい報告の中には、委員会に直接提出されるもの、個人情報保護法第44条に基づき権限を委任している大臣を経由するもの、同法第47条に規定する認定個人情報保護団体を経由して報告されるものが存在する。漏えい人数が5万人以上の事案の件数を見ると、平成29年度は13件、平成30年度上半期は14件となっている。
〇 漏えい事案の発生原因は、平成29年度、平成30年度上半期を通じて、書類及び電子メールの誤送付、書類及び電子媒体の紛失が約8割を占めている。このうち、大規模漏えい事案の発生原因については、インターネットを経由した不正アクセスが約7割となっている。また、1件当たりの漏えい人数は100人以下のものが8割以上となっている。
〇 委員会が積極的に働きかけた事例としては、漏えい等事案の報道発表を端緒として事業者に連絡を行った結果、漏えい報告が提出された事案、ソーシャルモニタリング(委員会が不適切事案を早期に把握するために、ソーシャルメディア等における情報をモニタリングする手法)を端緒として事業者に連絡を行った結果、漏えい報告が提出された事案などがある。
〇 なお、事業者からの個人データの漏えい等事案の状況8を見ると、以下のとおりである。
・漏えい等した人数については、500人以下の事例が93.6%と大半を占めている。
・漏えい等した情報の種類については、顧客情報が92.9%と大半を占めている。
・漏えい等した情報の形態については、紙媒体のみが60.1%、次いで電子媒体のみのものが37.6%となっている。
・漏えい等元・漏えい等した者については、事業者の従業者の不注意によるものが52.9%、委託先の従業者の不注意によるものが34.0%となっている。
・漏えい等した後の改善措置状況については、従業者による安全管理措置として講じられているのは、人的措置が71.5%、次いで組織的措置が34.4%になっている。事業者による本人への対応としては、本人への謝罪・連絡が91.9%となっている。
(脚注8)平成29年度年次報告(期間:平成29年5月30 日~平成30年3月31 日)
〇 委員会としては必要に応じて、再発防止策の実施や個人情報の適切な取扱いを行うように個人情報保護法第41条に基づく指導・助言を行うほか、立入検査等を実施するケースもある。
〇 また、外国にある個人情報取扱事業者のうち、日本にいる者に対して物品やサービスの提供を行い、これに関連して本人から個人情報を取得した者が、外国においてその個人情報を取り扱う場合は、個人情報保護法第75条に基づき、同法第20条(安全管理措置)の規定も適用される。このような外国にある個人情報取扱事業者が日本の利用者の個人データを含む漏えい等事案を発生させた場合には、日本にある個人情報取扱事業者と同様に、漏えい報告の対象となる。
〇 外国事業者の事例への対応としては、
・国外に所在する外国事業者の漏えい等により、当該事業者のサービスを利用していた国内事業者の顧客の個人データが漏えいした事案について、当該外国の事業者に対し国内事業者のリストの提出を求め、国内事業者に漏えい等報告の提出を促した事案(本章第5節1(2)及び第6節1(3)において再掲)
・外国事業者の漏えいであって、当該事業者の協力が得られなかった事案について、海外の個人情報保護当局との執行協力として、委員会の対応状況の情報提供、漏えい等事案の発生原因や再発防止策の情報の共有を行った事案
・国外に所在する事業者がソーシャルプラグインを設置している他のウェブサイトを閲覧した場合、ボタンを押さなくてもユーザーIDやアクセス履歴等の情報が当該事業者に送信されてしまうことや、取得した個人情報の一部が第三者に不正に提供されたケースがあったことから、①ユーザーへの分かりやすい説明や本人からの同意の取得の徹底、②同社がプラットフォーマーとしての責任を認識し、プラットフォーム上のアプリケーションの活動状況の監視を徹底すること等を指導した事案
等がある。
2.諸外国の現状
〇 漏えい報告については、多くの国々で法令上義務化されている。漏えい報告の相手方は、原則として、本人と監督機関の双方となっている。また、漏えい報告の期限として、いずれの国でも速やかな対応を要求しているが、特に、EUのGDPRは、具体的な時間制限として個人データ侵害を認識した時から72時間以内の当局に対する通知を要求している。
〇 また、漏えい報告に係る軽減措置について、日本では高度な暗号化が施されている場合等、実質的に個人データが漏えいしていないと判断される場合に軽減措置が講じられているが、多くの国々9で、暗号化がされている場合や個人の権利・自由にリスクを発生させるおそれがない事案等について報告不要とされている。
 (脚注9)米国(カリフォルニア州法、ニューヨーク州法)、EU、中国の状況について第86 回委員会(平成31 年1月28日)資料(個人情報保護を巡る国内外の動向)を参照。
〇 このように、諸外国では大きな方向性では類似点も見られるものの、対象とする事案、期限、軽減措置等の詳細については、相違点も見られるところである。
〇 なお、国際的には、データ保護プライバシー・コミッショナー国際会議(以下「ICDPPC」という。)やOECD(欧州経済協力機構(Organisationfor Economic Co-operation and Development))といった多国間での枠組みでも、各国の漏えい報告の状況を当局間で情報を共有し、効果的な執行活動に活かしていくという議論が行われている。
3.検討の方向性
(1)基本的考え方
〇 漏えい報告は、委員会が漏えい事案を把握し、個人の権利利益の保護を図るためのいわば起点と考えられる。個々の事業者を適切に監督するというだけでなく、当局が、事業者が参考にすべき情報を積極的に事業者に対して発信したり、助言したりすることによって、事業者の適切な対応につなげていくという意義も大きい。漏えい報告の在り方を検討する上では、このような多面的意義を踏まえて議論を行う必要がある。
〇 委員会における執行の現状からみても、漏えい報告を端緒として、当委員会による行政指導につながった事例も存在するなど、委員会の事業者監督において、効果的な手段となっている。
〇 諸外国においては、多くの国で漏えい報告が義務とされている。一方、我が国では、法的な義務ではないにもかかわらず、漏えい報告について、多くの企業で適切に対応されており、これは、我が国事業者の個人情報保護に対する意識の高さとも考えられる。
〇 一方、漏えい報告は法令上の義務ではないため、積極的に対応しない事業者も一部に存在している。仮に、事業者側が公表等しない場合、委員会が事案を把握できない可能性があり、適切な対応が行われない懸念がある。
〇 また、事業者側から見ても、漏えい報告について、一定の軽減措置を設けることを前提に、法令上明確に位置付けた方が、企業側が報告の要否に係る判断に迷わないとも考えられる。
〇 加えて、国際的な議論の潮流の観点からしても、ICDPPCやOECDといった多国間での枠組みで、各国の漏えい報告の状況を当局間で情報共有するという方向で議論がなされている状況を考慮する必要がある。
〇 したがって、国内における法執行の安定性や、国際的な議論の潮流等を勘案すると、漏えい報告について、法令上明記し、一定の場合について義務付けをすることも検討する必要がある。
(2)勘案すべき事項
〇 漏えい報告について、諸外国の立法例をみても、法令上義務としているものの、対象とする事案、期限、軽減措置、本人への通知等において、多様な状況にある。これら諸外国の立法例も参考としつつも、我が国ではどうあるべきか、影響や実効性等も加味しながら、今後具体的に検討していく必要がある。
〇 仮に、漏えい報告を義務化する場合、軽微な事案についても全て報告を求めると、報告対象となる事業者の負担のみならず、報告を受領する執行機関としても制度の趣旨目的に比しコストが過剰となる可能性がある。
〇 漏えいの件数、重大性、原因、漏えいした情報の内容等を考慮し、報告義務を課すことも考えられる。例えば、漏えいデータの件数(例:数件程度から数百万件)や情報の内容(例:公知情報、非公知情報、要配慮個人情報等)によって、本人や社会への影響は大きく異なると考えられる。しかしながら、数件程度の漏えいであったとしても、漏えいした情報の内容によっては、本人への影響が大きい場合もあり得る。報告義務を課す場合、中小規模事業者の負担も考慮しつつ、これら要素を加味した検討が必要である。
〇 また、本人への通知等の在り方についても検討が必要である。本人への通知は、個人の権利利益の保護の観点からも重要と考えられるか、執行機関への報告と同様な形で連絡を求めるのか、一定の要件を設けるのか、検討が必要である。さらに、本人への通知等の具体的な方法・手段について検討する必要がある。
〇 加えて、漏えい報告については、速やかに報告を求めるのが原則であることは言うまでもないが、法令で明示的な期限を設けるべきかについても、現状における報告実態を踏まえつつ、検討する必要がある。
〇 なお、現在、漏えい報告の報告先については、一定の場合、委員会以外に、個人情報保護法第44条に基づき権限を委任している大臣及び認定個人情報保護団体に対して提出することを認めている。当該方式は現在有効に機能していると考えられることから、今後の検討においても、この方法を活かしていくことが考えられる。
 
 
【参考】
〇個人情報の保護に関する法律
(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
 
〇個人情報の保護に関する法律についてのガイドライン(通則編)
4 漏えい等の事案が発生した場合等の対応
漏えい等(※)の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める。
(※)「漏えい等」とは、漏えい、滅失又は毀損のことをいう(3-3-2(安全管理措置)参照)。
〇個人データの漏えい等の事案が発生した場合等の対応について(平成29 年個人情報保護委員会告示第1号)
個人情報保護委員会は、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28 年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を平成28年11 月30 日に公表した。
通則ガイドラインの「4 漏えい等の事案が発生した場合等の対応」において、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」こととしていたが、当該対応について次のとおり定める。
本告示において使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例による。
なお、特定個人情報の漏えい事案等が発覚した場合については、本告示によらず、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27 年特定個人情報保護委員会告示第2号)による。
1.対象とする事案
本告示は、次の(1)から(3)までのいずれかに該当する事案(以下「漏えい等事案」という。)を対象とする。
(1)個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
(2)個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規則(平成28 年10 月5日個人情報保護委員会規則第3号)第20 条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい
(3)上記(1)又は(2)のおそれ
2.漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等事案が発覚した場合は、次の(1)から(6)に掲げる事項について必要な措置を講ずることが望ましい。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
(2)事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3)影響範囲の特定
上記(2)で把握した事実関係による影響の範囲を特定する。
(4)再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
(5)影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6)事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。
3.個人情報保護委員会等への報告
個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、次のとおり速やかに報告するよう努める。
(1)報告の方法
原則として、個人情報保護委員会に対して報告する。ただし、法第47 条第1項に規定する認定個人情報保護団体の対象事業者である個人情報取扱事業者は、当該認定個人情報保護団体に報告する。
上記にかかわらず、法第44 条第1項に基づき法第40 条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野における個人情報取扱事業者の報告先については、別途公表するところによる(※1)。
 (※1)法第44 条第1項に基づき法第40 条第1項に規定する個人情報保護委員会の権限が事業所管大臣に委任されている分野の詳細についても、別途公表するところによる。
(2)報告を要しない場合
次の①又は②のいずれかに該当する場合は、報告を要しない(※2)。
 (※2)この場合も、事実関係の調査及び原因の究明並びに再発防止策の検討及び実施をはじめとする上記2.の各対応を実施することが、同様に望ましい。
①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合
(※3)
 (※3)なお、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」には、例えば、次のような場合が該当する。
・漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
・漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
・漏えい等事案に係る個人データ又は加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)
・個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合
②FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合(※4)
 (※4)なお、「軽微なもの」には、例えば、次のような場合が該当する。
・FAX 若しくはメールの誤送信、又は荷物の誤配等のうち、宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合
 
第2 解説
1.漏えい等報告の義務化
  • 〇 諸外国においては、多くの国で漏えい等報告が義務とされている。一方、我が国では、制度上は努力義務であるが、漏えい等報告について、多くの企業でしっかり対応されている。
  • 中間整理の意見募集では、漏えい等報告を法令上義務化することには賛否共に多くの意見が寄せられたが、漏えい等報告が個人情報の本人、個人情報取扱事業者、監督機関それぞれにとって多くの意義があること、国際的な潮流になっていること等を勘案する必要がある。このため、制度改正大綱では、漏えい等報告について、法令上の義務として明記することとされた。
2.報告対象となる事案
〇 漏えい等報告について、諸外国の立法例では法令上の義務としているものが多いが、報告義務の対象となる事案期限軽減措置本人への通知等において、多様な状況にある。
〇 中間整理の意見募集では、仮に法令上義務化する際は、企業の実行可能性等を踏まえた検討や報告対象事案の限定を求める意見が多く寄せられた。また、報告の時間的限定については、否定的意見が多かったほか、漏えい等報告について、報告先の一元化を求める意見、本人の通知について、義務付ける必要性は高くないとの意見もあった。
〇 漏えい等報告の義務化に当たっては、こうした意見を踏まえた上で、制度整備を行う必要があり、軽微な事案についても全て報告を求めることは、報告対象となる事業者の負担、及び報告を受領する執行機関にとっての有用性の観点から疑問がある。
〇 以上の点を踏まえ、制度改正大綱では、一定数以上の個人データ漏えい、要配慮個人情報の漏えい等、一定の類型に該当する場合に限定して、速やかに委員会へ報告することを義務付けることとされた。
3.報告の期限、報告先等
〇 漏えい等の報告については、委員会がその事態を把握し、必要な措置を講ずるという趣旨に鑑み、速やかに行われる必要がある一方、事業者が事態を把握するのに要する時間については、個別具体的な事情によるところが大きく、一律に日数を規定することは困難である。そのため、制度改正大綱では、明確な時間的な制限は設けないものの、報告内容を一定程度限定した上で「速やか」に報告することを義務付けることとされた。(速報)
〇 他方で、原因や再発防止策等の報告を求める必要もあることから、運用上、上記の速報とは別に、一定の期限までに確報として報告を求めることとされた。(確報)
〇 なお、現行の制度では、漏えい等報告の報告先については、一定の場合、委員会以外に、権限委任官庁及び認定個人情報保護団体に対して提出することを認めている。これについては、中間整理の意見募集では、報告先の一元化を求める意見が寄せられたことから、制度改正大綱では、法令上の義務とすることに鑑み、委員会又は権限委任官庁への提出に限定することとされた。
 
4.本人への通知
〇 個人データの漏えい等が発生した場合に、その旨を本人に通知することで、本人が二次被害の防止を行ったり、必要な権利を行使するなど、自ら適切な措置を講じることができる。そこで、制度改正大綱では、個人情報取扱事業者は、上記2に記載した報告の対象となる場合、原則として本人に通知しなければならないものとされた。
〇 一方で、個人データの漏えい等が発生した場合であっても、実際、本人に対する通知が困難な場合がある。具体的には、把握している個人データに、本人に対する連絡先がそもそも含まれていない場合や、把握している情報が古いために、本人に対する連絡ができない場合が想定される。本人に対する通知は可能な限り行うべきであるが、保有している情報に基づいて本人に対する通知ができない場合にまで、本人の現在の連絡先を特定した上で、本人に対する連絡を求めることは、事業者に過度な負担を課すこととなる。
〇 ただし、本人に対する通知が困難な場合であっても、個人情報取扱事業者としては、個人の権利利益に配慮し、公表を行い問合せに応じるなど代替的な措置を講じることは可能である。そこで、制度改正大綱では、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときについては、例外規定を置くこととされた。
以 上

 

〇漏えい報告に係る主要な国の制度①
  日本 米国
カリフォルニア州 ニューヨーク州
制度の有無 あり あり あり
制度の根拠 ・個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号(以下「告示」)) • データ侵害通知法(カリフォルニア州民法)
Section 1798.82
• データセキュリティ侵害通知法(一般事業法第899AA条)
漏えい報告に係る義務の位置付け 努力義務(告示2(5)及び3) 義務(1798.82. (a)) 義務(第2項)
漏えい報告の対象となる事案 ・個人情報取扱事業者が保有する個人データ等の漏えい、滅失またはき損及びその恐れ(告示1) ・暗号化されていない個人データの流出あるいは、暗号化されているが暗号と共に流出した場合(1798.82. (a)) • 暗号化されていない個人データの流出あるいは、暗号化されているが暗号と共に流出した場合(第1項(a) )
漏えい報告を行うべき相手方 • 影響を受ける可能性のある個人情報の本人(告示2(5))
• 個人情報保護委員会(告示3)
• 本人(カリフォルニア州在住者のみ)
⇒このほか、公表義務が存在(1798.82.(b))
•500名以上に通知を行う場合、司法長官へ通知書提出が必要(1798.82. (f))
• 本人(NY州在住者のみ)(第2項)
• 州司法長官、州務局及び警察(第8項(a))
•5000名を超える場合には消費者報告機関への通知も必要(第8項(b))
漏えい報告を行うべき期限 • 対本人:「速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く」ことが「望ましい」(告示2(5))
• 対個人情報保護委員会:「速やかに報告するよう努める」(告示3)
• 漏えいの発見後、速やかに通知すべき(1798.82. (a)) • 漏洩の発見後速やかに通知すべき事を規定(第2項、第3項)
漏えい報告に係る軽減措置の概要 • 実質的に個人データ等が外部に漏えいしていないと判断される場合(高度な暗号化が施されている等)
•FAXの誤送信等のうち軽微なものについては、個人情報保護委員会への報告を要しない(告示(2))
• 漏えい報告の対象となる情報を、氏名と個人番号等(社会保障番号等)の組み合わせ等に限定(1798.82. (h))
• 暗号化が施され、暗号鍵が同時に漏洩していない場合は通知義務から除外される。(第1項(a))
• 暗号化が施され、暗号鍵が同時に漏洩していない場合は通知義務から除外される。
義務の懈怠に係る罰則 なし ・顧客は、民事訴訟で損害賠償請求を提起することができる(1798.84(b)) • 州司法長官は州民を代表して違反者に対して裁判所に損害賠償請求を提起できる(第6項)
漏えい報告の実績値 • 平成29年度:3,338件
• 平成30年度(上半期):2,191件
・2015年:178件 •2017年:1,583件
 
(※1) 米国では、包括的な個人情報保護法は連邦レベルでは存在せず、分野ごとに個別法で措置されている。
(出所)「個人情報保護を巡る国内外の動向(漏えい報告の在り方)」(第86回個人情報保護委員会(平成31年1月28日))

〇漏えい報告に係る主要な国の制度②
  EU 中国
制度の有無 ・GDPR第33条、第34条 あり
制度の根拠 ・個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号(以下「告示」)) ・サイバーセキュリティ法(※2)第42条
漏えい報告に係る義務の位置付け 義務(第33条、第34条) 義務(第42条)
漏えい報告の対象となる事案 • 個人データ侵害が発生した場合
(第33条第1項、第34条第1項)
・個人情報の漏洩、破損、紛失が発生した又は発生する恐れ(第42条)
漏えい報告を行うべき相手方 • 個人データ侵害によって権利及び自由に対する高いリスクが発生する可能性があるデータ主体(第34条第1項)
•EU各国の監督機関(第33条第1項)
• 使用者
• 監督機関(第8条)
⇒法令上用語の明確な定義はされていない。
漏えい報告を行うべき期限 • 対データ主体:高いリスクを伴う個人データ侵害を認識した場合速やかに(第34条第1項)
• 対当局:可能な場合には、個人データ侵害を認識した時から72時間以内。72時間を過ぎた場合はその理由を添付(第33条第1項)
• 個人情報の漏洩、破損、紛失が発生した又は発生する恐れのある場合は、直ちに救済措置を講じ、規定に従い遅滞なく使用者への告知および監督機関への報告が義務付けられている(第42条)
漏えい報告に係る軽減措置の概要 • 対データ主体:個人の権利及び自由に対する高度なリスクを発生させる恐れがない侵害
• 対EU各国の監督機関:個人の権利及び自由に対するリスクを発生させる恐れがない侵害については、報告は不要(第33条第1項、第34条第1項)
なし
義務の懈怠に係る罰則 • 報告を怠った場合には第83条に基づき何らかの制裁が適用される可能性がある
(個人データ侵害通知に関するガイドライン序文)
• 関係所管機関が是正命令を行い、情状に基づき警告、違法所得の没収又は相当額以上10倍以下の制裁金を単科あるいは併科できる(第64条)
漏えい報告の実績値 • 英国:6,000以上
• ドイツ:1,000未満
※GDPR施行後、昨年9月時点まで。ただし、英国は旧データ保護法に基づくレポートも含まれ、ドイツは報告のあった5州のみの結果。

(調査した限り不明)
 
(※2) 中国では、包括的な個人情報保護法は存在しないが、サイバーセキュリティ法においてサイバーセキュリティに関連する個人情報保護の規定を設けている。
(出所)「個人情報保護を巡る国内外の動向(漏えい報告の在り方)」(第86回個人情報保護委員会(平成31年1月28日))
 

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0
[2]https://www.ppc.go.jp/files/pdf/press_betten1.pdf