トピックス
2020.12.09
NEWS
【最新情報:改正個人情報保護法】漏えい等報告及び本人通知
※政令案・内閣府令案を踏まえた解説については下記リンク先をご覧ください。
【最新情報:改正個人情報保護法】漏えい等報告及び本人通知(政令案・委員会規則案を踏まえたもの)
令和2年(2020年)10月30日に開催された第156回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)」についての審議がなされました。
個人データの漏えい等報告及び本人通知は現行法では努力義務であり、改正法により、これが義務化します(同改正の施行は2022年4月~6月の予定です。)。
したがって、どのような場合に「個人情報保護委員会への報告」を要するか、また、どのような場合に「本人への通知」を要するかは事業者にとっても重要な関心事項です。
本ニュースレターでは、「漏えい等報告及び本人通知」に関する個人情報保護委員会規則の方向性について記載した個人情報保護委員会資料の内容を中心に解説いたします。
1.改正条文
改正個人情報保護法22条の2に新たに「漏えい等の報告等」の規定が設けられますが、①どのような場合に個人情報保護委員会への漏えい等の報告が必要となるのか、②本人の通知はどのような場合に必要となるのか、については、「個人情報保護委員会規則」で得定められることになります。
2.漏えい等報告・本人通知の対象となる事態
(1)基本的な考え方
改正法において「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」を漏えい等報告・本人通知の対象としています。
現行の告示に基づいて委員会に報告された事案についてみると、漏えい等の対象となった本人の数だけで重大性を判断できるものではありません。
制度改正大綱の意見募集においても、形式的に漏えいされた個人データの数だけを考慮するのではなく、個人の権利利益に対する実質的な影響を考慮すべきとの意見がありました。
また、漏えい等報告を義務化している諸外国の個人情報保護法制においても、その要否を判断するにあたって、様々な要素を考慮している。例えば、GDPR(EU一般データ保護規則)においては、個人データ侵害のリスクを評価するにあたって、侵害の種類、個人データの性質・機微性及び量等複数の要素を考慮するとされています。
一方で、事業者が個人情報保護委員会への報告及び本人通知の要否を判断できるよう、基準として明確 かつ簡便である必要があります。
そこで、個人情報保護委員会は、「様々な考慮要素の中から、まずは個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質・内容、漏えい等の態様、漏えい等の事態の規模等を考慮した上で、対象となる事態を定めるものとしてはどうか。」との考え方を示しています。
(2)方向性
〇漏えい等報告・本人への通知が必要となる場合
ア 対象となる事態の類型と対象となる情報・件数
①個人データの性質:要配慮個人情報
機微性は様々ですが、特に要配慮個人情報は、その取扱いによっては差別や偏見を生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいとされています。
②個人データの内容:財産的被害が発生するおそれがある場合
漏えい等によってクレジットカード番号等が不正利用される事案は、従前から大きな問題となっています。このように、財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)は、個人の権利利益に対する影響が大きいとされています。
③漏えい等の態様:故意による漏えい
過失により生じたものと故意により生じたものでは、個人の権利利益に対する影響が異なり、故意によるもの(例:不正アクセスや従業員による持ち出し等)は、類型的に二次被害が発生するおそれが大きいとされています。
④大規模な漏えい
上記①から③までに該当しない事案であっても、一定数以上の大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられるとされています。
「大規模の漏えい等」の「一定数以上」については、これまでに発生した漏えい等事案について、件数の分布や事案の傾向等を踏まえて、基準を検討する必要があるものとしています。
そして、例えば、過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて、1,000人を基準とすることが考えられる、と提案されています。
⑤漏えい等の「おそれ」がある場合
漏えい等が確定していない段階においても、事業者が漏えい等の「おそれ」を把握した場合、事態を把握した上で、漏えい等が発生していた場合の被害を最小限にする必要があります。
「おそれ」が生じた時点で、個人情報保護委員会が報告を受け、事態を把握することができれば、当該事業者に対して、必要な措置を講じるよう、求めることができます。
また本人としても、「おそれ」が生じた時点で、早期に事態を把握することができれば、本人として必要な措置を講じることができます。
したがって、漏えい等の「おそれ」がある事態についても、漏えい等報告・本人通知の対象としてはどうか、と提案されています。
イ 暗号化された個人データの取扱い
暗号化が講じられた個人データの漏えい等について、「個人の権利利益を害するおそれが大きいもの」に該当するか、検討する必要があります。
暗号化については、その方法にもよりますが、漏えい等が発生した場合においても、権限のない第三者が見読することを困難にする措置として有効であり、現行の告示に基づく報告制度においても、「高度な暗号化等の秘匿化」がされた個人データは報告の対象外とされています。
なお、改正法において、「仮名加工情報である個人データ」は、漏えい等報告の対象外となっています。
そこで、高度な暗号化等の秘匿化がされた個人データについては、漏えい等報告・本人通知の対象外となる場合を認める方向で検討してはどうかと提案されています。
(3)個人情報保護委員会への報告の時間的制限・報告事項(改正法22条の2第1項)
〇速報・確報
ア 基本的な考え方
漏えい等が発生した際の委員会への報告については、速やかに行う必要がある一方で、原因や再発防止策等、把握に時間を要する内容も報告に含める必要があるところ、これらの要請を満たす報告を一度に行うことは困難です。
そこで、漏えい等の報告の期限については、速報と確報の二段階とした上で、それぞれ定めるものとすることはどうかと提案されています。
速報については、事業者に漏えい等が発覚した後、速やかに報告することを求めるものですが、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていない場合があることに留意する必要があります。
確報については、原因や再発防止策も含めて報告を求めるものであり、事実関係の把握に時間を要することから、一定の時間的猶予を設ける必要があります。
イ 速報
個人情報保護委員会が事態を早急に把握し、必要な措置を講じることができるようにするという漏えい等報告の趣旨からすれば、事案に関わらず一律に期限を設け、報告することを求めることも考えられるが、事業者が事態を把握するのに要する時間については、個別具体的な事情によるところが大きいです。
そこで、個人情報保護委員会からは、個人情報保護委員会規則においては、明確な時間的制限を設けることなく、「速やかに」と定めた上で、その目安をガイドラインで示してはどうかと提案されました。
また、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていないこともありますので、報告内容については、現行の告示で報告内容とされている事項をもとに検討を行った上で、速報の段階においては、その時点で把握している事項を報告対象としてはどうかと提案されています。
※時間的即時性のある法令用語としては、「速やかに」のほかに、「直ちに」、「遅滞なく」があります。
時間的即時性では、「直ちに」⇒「速やかに」⇒「遅滞なく」の順番となります。
ニュアンス的には、「直ちに」は「正にすぐに」、「速やかに」は「可能な限り早く」、「遅滞なく」は「正当な理由・合理的な理由がない限り早く」という感じです。
ウ 確報
「確報」においては、報告が求められる事項について基本的に全て報告をする必要があります。
事実関係の把握には時間を要する一方で、確報について明確な時間制限を設けない場合、事業者によって対応が分かれ、委員会が早期に事実関係を把握できない事態も想定されます。
他方、事実関係の把握に要する時間は、事案によって異なるものであり、不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要となる等、他の事案に比べて時間を要する傾向にあります。
そこで、個人情報保護委員会は、「確報」の報告期限について、事実関係の把握に通常要する時間を考慮した上で、一定の時間的制限(これまでの報告実績も踏まえ、例えば30日)を設け、漏えい等の類型も考慮し、不正の目的をもって行われた行為による漏えい等については、他の事案よりも時間的猶予を認め、例えば60日としてはどうか、と提案しています。
4.本人への通知(改正法22条の2第2項)
(1)基本的な考え方
個人情報保護委員会への報告を要する事態が生じた場合(上記2(2)ア参照)には、本人に対しても通知を行う必要があります。
本人への通知の趣旨は、通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにあります。
もっとも、本人への通知は、上記の制度趣旨を達成する観点から、本人が必要とする内容を、本人にとって必要なタイミングで通知することが重要であり、個人情報保護委員会への報告と区別して検討すべきです。
(2)本人通知の時間的制限、通知事項
ア 通知のタイミング
本人に対する通知は速やかに行う必要がある一方で、その具体的なタイミングは、事案によって異なります。また、事案によっては、速やかに通知することにより、かえって本人に不利益が生ずる場合もあります。
そこで、個人情報保護委員会は、本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はないのではないか、と提案しています。
イ 通知事項・通知方法
通知事項・通知方法に関して、本人にとって重要なのは、漏えい等が発生したことやその概要を適切に把握・理解することです。
そこで、個人情報保護委員会は、通知事項について、本人が事態を適切に理解するために必要な事項を規則で定めた上で、通知方法と併せて、本人にとってわかりやすい形となるようガイドライン等で例示すべきではないかと提案しています。
(3)通知を要しない場合
改正個人情報保護法22条の2第2項ただし書において、「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき」は、本人への通知を行う事態が生じる場合でも、通知を要しないこととされています。
例えば、漏えい事案が発生した場合において、「高度な暗号化処理等が施されている場合」や 「即時に回収出来た場合」等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合には、個人データが漏えいしたことを公表すれば、本人への通知を省略しうるものと考えられます。「金融機関における個人情報保護に関するQ&A 」(令和2年4月 個人情報保護委員会・金融庁)20頁参照。
また、上記2(2)イのとおり、「高度な暗号化等の秘匿化」がされた個人データは個人情報保護委員会への報告の対象外となるので、本人への通知も不要となると考えられます。
【最新情報:改正個人情報保護法】漏えい等報告及び本人通知(政令案・委員会規則案を踏まえたもの)
|
執筆者:渡邉雅之 *本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。 弁護士法人三宅法律事務所 弁護士渡邉雅之 TEL 03-5288-1021 FAX 03-5288-1025 Email m-watanabe@miyake.gr.jp |
個人データの漏えい等報告及び本人通知は現行法では努力義務であり、改正法により、これが義務化します(同改正の施行は2022年4月~6月の予定です。)。
したがって、どのような場合に「個人情報保護委員会への報告」を要するか、また、どのような場合に「本人への通知」を要するかは事業者にとっても重要な関心事項です。
本ニュースレターでは、「漏えい等報告及び本人通知」に関する個人情報保護委員会規則の方向性について記載した個人情報保護委員会資料の内容を中心に解説いたします。
|
以下のPDFファイルでのニュースレターもご覧ください。 最新情報:漏えい等報告及び本人通知 |
1.改正条文
改正個人情報保護法22条の2に新たに「漏えい等の報告等」の規定が設けられますが、①どのような場合に個人情報保護委員会への漏えい等の報告が必要となるのか、②本人の通知はどのような場合に必要となるのか、については、「個人情報保護委員会規則」で得定められることになります。
|
改正後の個人情報の保護に関する法律 (漏えい等の報告等) 第22条の2 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。 2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、 個人情報保護委員会規則で定めるところ により、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
(1)基本的な考え方
改正法において「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」を漏えい等報告・本人通知の対象としています。
現行の告示に基づいて委員会に報告された事案についてみると、漏えい等の対象となった本人の数だけで重大性を判断できるものではありません。
制度改正大綱の意見募集においても、形式的に漏えいされた個人データの数だけを考慮するのではなく、個人の権利利益に対する実質的な影響を考慮すべきとの意見がありました。
また、漏えい等報告を義務化している諸外国の個人情報保護法制においても、その要否を判断するにあたって、様々な要素を考慮している。例えば、GDPR(EU一般データ保護規則)においては、個人データ侵害のリスクを評価するにあたって、侵害の種類、個人データの性質・機微性及び量等複数の要素を考慮するとされています。
一方で、事業者が個人情報保護委員会への報告及び本人通知の要否を判断できるよう、基準として明確 かつ簡便である必要があります。
そこで、個人情報保護委員会は、「様々な考慮要素の中から、まずは個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質・内容、漏えい等の態様、漏えい等の事態の規模等を考慮した上で、対象となる事態を定めるものとしてはどうか。」との考え方を示しています。
(2)方向性
〇漏えい等報告・本人への通知が必要となる場合
| 事態の類型 | 漏えい等報告・本人通知が必要となる場合 | 件数 | 例外 |
| 個人データの性質 | 要配慮個人情報の漏えい(おそれも) | 1件以上 | 「高度な暗号化等の秘匿化」がされた個人データ |
| 個人データの内容 | 財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)(おそれ) | ||
| 漏えい等の態様 | 故意による漏えい(例:不正アクセスや従業員による持ち出し等)(おそれ) | ||
| 大規模な漏えい | 個人データの性質・内容、漏えい等の態様を問わず、大規模な個人データの漏えい | 1000件以上 | |
| 漏えい等のおそれ | 上記のおそれがある場合 |
ア 対象となる事態の類型と対象となる情報・件数
①個人データの性質:要配慮個人情報
機微性は様々ですが、特に要配慮個人情報は、その取扱いによっては差別や偏見を生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいとされています。
②個人データの内容:財産的被害が発生するおそれがある場合
漏えい等によってクレジットカード番号等が不正利用される事案は、従前から大きな問題となっています。このように、財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)は、個人の権利利益に対する影響が大きいとされています。
③漏えい等の態様:故意による漏えい
過失により生じたものと故意により生じたものでは、個人の権利利益に対する影響が異なり、故意によるもの(例:不正アクセスや従業員による持ち出し等)は、類型的に二次被害が発生するおそれが大きいとされています。
④大規模な漏えい
上記①から③までに該当しない事案であっても、一定数以上の大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられるとされています。
「大規模の漏えい等」の「一定数以上」については、これまでに発生した漏えい等事案について、件数の分布や事案の傾向等を踏まえて、基準を検討する必要があるものとしています。
そして、例えば、過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて、1,000人を基準とすることが考えられる、と提案されています。
⑤漏えい等の「おそれ」がある場合
漏えい等が確定していない段階においても、事業者が漏えい等の「おそれ」を把握した場合、事態を把握した上で、漏えい等が発生していた場合の被害を最小限にする必要があります。
「おそれ」が生じた時点で、個人情報保護委員会が報告を受け、事態を把握することができれば、当該事業者に対して、必要な措置を講じるよう、求めることができます。
また本人としても、「おそれ」が生じた時点で、早期に事態を把握することができれば、本人として必要な措置を講じることができます。
したがって、漏えい等の「おそれ」がある事態についても、漏えい等報告・本人通知の対象としてはどうか、と提案されています。
イ 暗号化された個人データの取扱い
暗号化が講じられた個人データの漏えい等について、「個人の権利利益を害するおそれが大きいもの」に該当するか、検討する必要があります。
暗号化については、その方法にもよりますが、漏えい等が発生した場合においても、権限のない第三者が見読することを困難にする措置として有効であり、現行の告示に基づく報告制度においても、「高度な暗号化等の秘匿化」がされた個人データは報告の対象外とされています。
なお、改正法において、「仮名加工情報である個人データ」は、漏えい等報告の対象外となっています。
そこで、高度な暗号化等の秘匿化がされた個人データについては、漏えい等報告・本人通知の対象外となる場合を認める方向で検討してはどうかと提案されています。
(3)個人情報保護委員会への報告の時間的制限・報告事項(改正法22条の2第1項)
〇速報・確報
| 報告の種類 | 報告期限 | 報告内容 |
| 速報 | 速やかで(ガイドラインで目安) | その時点で把握している事項 |
| 確報 |
例えば30日の期限 ※不正の目的をもって行われた行為による漏えい等については、例えば60日 |
報告が求められる事項について基本的に全て報告をする |
ア 基本的な考え方
漏えい等が発生した際の委員会への報告については、速やかに行う必要がある一方で、原因や再発防止策等、把握に時間を要する内容も報告に含める必要があるところ、これらの要請を満たす報告を一度に行うことは困難です。
そこで、漏えい等の報告の期限については、速報と確報の二段階とした上で、それぞれ定めるものとすることはどうかと提案されています。
速報については、事業者に漏えい等が発覚した後、速やかに報告することを求めるものですが、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていない場合があることに留意する必要があります。
確報については、原因や再発防止策も含めて報告を求めるものであり、事実関係の把握に時間を要することから、一定の時間的猶予を設ける必要があります。
イ 速報
個人情報保護委員会が事態を早急に把握し、必要な措置を講じることができるようにするという漏えい等報告の趣旨からすれば、事案に関わらず一律に期限を設け、報告することを求めることも考えられるが、事業者が事態を把握するのに要する時間については、個別具体的な事情によるところが大きいです。
そこで、個人情報保護委員会からは、個人情報保護委員会規則においては、明確な時間的制限を設けることなく、「速やかに」と定めた上で、その目安をガイドラインで示してはどうかと提案されました。
また、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていないこともありますので、報告内容については、現行の告示で報告内容とされている事項をもとに検討を行った上で、速報の段階においては、その時点で把握している事項を報告対象としてはどうかと提案されています。
|
〇「速報」の方向性 ①報告期限 ・明確な時間的制限は設けず、「速やかに」と定めた上で、速報の段階ではその時点で把握している事項を報告事項とする。 ②報告事項 ・その時点で把握している事項を報告事項とする。 |
※時間的即時性のある法令用語としては、「速やかに」のほかに、「直ちに」、「遅滞なく」があります。
時間的即時性では、「直ちに」⇒「速やかに」⇒「遅滞なく」の順番となります。
ニュアンス的には、「直ちに」は「正にすぐに」、「速やかに」は「可能な限り早く」、「遅滞なく」は「正当な理由・合理的な理由がない限り早く」という感じです。
ウ 確報
「確報」においては、報告が求められる事項について基本的に全て報告をする必要があります。
事実関係の把握には時間を要する一方で、確報について明確な時間制限を設けない場合、事業者によって対応が分かれ、委員会が早期に事実関係を把握できない事態も想定されます。
他方、事実関係の把握に要する時間は、事案によって異なるものであり、不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要となる等、他の事案に比べて時間を要する傾向にあります。
そこで、個人情報保護委員会は、「確報」の報告期限について、事実関係の把握に通常要する時間を考慮した上で、一定の時間的制限(これまでの報告実績も踏まえ、例えば30日)を設け、漏えい等の類型も考慮し、不正の目的をもって行われた行為による漏えい等については、他の事案よりも時間的猶予を認め、例えば60日としてはどうか、と提案しています。
|
〇「確報」の方向性 ①報告期限 ・一定の時間的制限 ⇒これまでの報告実績も踏まえ、例えば30日 ・不正の目的をもって行われた行為による漏えい等 ⇒他の事案よりも時間的猶予を認め、例えば60日 ②報告事項 ・報告が求められる事項について基本的に全て報告する必要がある。 |
4.本人への通知(改正法22条の2第2項)
(1)基本的な考え方
個人情報保護委員会への報告を要する事態が生じた場合(上記2(2)ア参照)には、本人に対しても通知を行う必要があります。
本人への通知の趣旨は、通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにあります。
もっとも、本人への通知は、上記の制度趣旨を達成する観点から、本人が必要とする内容を、本人にとって必要なタイミングで通知することが重要であり、個人情報保護委員会への報告と区別して検討すべきです。
(2)本人通知の時間的制限、通知事項
ア 通知のタイミング
本人に対する通知は速やかに行う必要がある一方で、その具体的なタイミングは、事案によって異なります。また、事案によっては、速やかに通知することにより、かえって本人に不利益が生ずる場合もあります。
そこで、個人情報保護委員会は、本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はないのではないか、と提案しています。
イ 通知事項・通知方法
通知事項・通知方法に関して、本人にとって重要なのは、漏えい等が発生したことやその概要を適切に把握・理解することです。
そこで、個人情報保護委員会は、通知事項について、本人が事態を適切に理解するために必要な事項を規則で定めた上で、通知方法と併せて、本人にとってわかりやすい形となるようガイドライン等で例示すべきではないかと提案しています。
(3)通知を要しない場合
改正個人情報保護法22条の2第2項ただし書において、「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき」は、本人への通知を行う事態が生じる場合でも、通知を要しないこととされています。
例えば、漏えい事案が発生した場合において、「高度な暗号化処理等が施されている場合」や 「即時に回収出来た場合」等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合には、個人データが漏えいしたことを公表すれば、本人への通知を省略しうるものと考えられます。「金融機関における個人情報保護に関するQ&A 」(令和2年4月 個人情報保護委員会・金融庁)20頁参照。
また、上記2(2)イのとおり、「高度な暗号化等の秘匿化」がされた個人データは個人情報保護委員会への報告の対象外となるので、本人への通知も不要となると考えられます。
|
〇本人通知の事態・時間的制限、通知事項 ①通知を行う事態 個人情報保護委員会への報告を要する事態が生じた場合 ②上記①にかかわらず通知が不要となる場合 ・本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき(改正法22条の2第1項ただし書) (例)漏えい事案が発生した場合において、「高度な暗号化処理等が施されている場合」や「即時に回収出来た場合」等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合には、個人データが漏えいしたことを公表すれば、本人への通知を省略しうる。 ③通知のタイミング 本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はない。 ④通知事項・通知方法 ・通知事項について、本人が事態を適切に理解するために必要な事項を規則で定める。 ・通知事項・通知方法は本人にとってわかりやすい形となるようガイドライン等で例示する。 |
5.委託先から委託元への通知方法
(1)基本的な考え方
個人データの漏えい等の事態が発生した場合、委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負うことになります。
他方、個人情報保護法22条の2第1項ただし書において、「ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。」とされ、委託先が委託元である個人情報取扱事業者に当該事態が発生した旨を通知したときは、委託先から個人情報保護委員会への報告義務を免除することとしています。この場合、委託元から委員会に報告を行うことになります。
委託元、委託先のどちらが主として漏えい報告や本人への通知を行うかについては、個人情報の取扱状況や、委託の状況等に応じて、あらかじめ、業者間で決めておくことが適切です。
その上で、委員会や本人との関係では、委託元、委託先のどちらが主として漏えい報告等の対応を行ったとしても、適切な対応がなされるようにすることが必要です。
(2)委託先から委託元への通知方法の方向性
委託先は、委託元が漏えい等の事態を把握した上で、委員会に報告を行うことができるよう、報告に資する通知を行う必要があります。
加えて、委託元は、委託先の監督義務があり(個人情報保護法22条)、委託先で漏えい等が発生した場合の委員会への通知体制を整備した上で、実際に発生した場合には、委託先における漏えい等の状況を適切に把握する必要もあります。
そこで、個人情報保護委員会は、「委託先から委託元への通知方法」の方向性について以下のとおり提案しています。
(1)基本的な考え方
個人データの漏えい等の事態が発生した場合、委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負うことになります。
他方、個人情報保護法22条の2第1項ただし書において、「ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。」とされ、委託先が委託元である個人情報取扱事業者に当該事態が発生した旨を通知したときは、委託先から個人情報保護委員会への報告義務を免除することとしています。この場合、委託元から委員会に報告を行うことになります。
委託元、委託先のどちらが主として漏えい報告や本人への通知を行うかについては、個人情報の取扱状況や、委託の状況等に応じて、あらかじめ、業者間で決めておくことが適切です。
その上で、委員会や本人との関係では、委託元、委託先のどちらが主として漏えい報告等の対応を行ったとしても、適切な対応がなされるようにすることが必要です。
(2)委託先から委託元への通知方法の方向性
委託先は、委託元が漏えい等の事態を把握した上で、委員会に報告を行うことができるよう、報告に資する通知を行う必要があります。
加えて、委託元は、委託先の監督義務があり(個人情報保護法22条)、委託先で漏えい等が発生した場合の委員会への通知体制を整備した上で、実際に発生した場合には、委託先における漏えい等の状況を適切に把握する必要もあります。
そこで、個人情報保護委員会は、「委託先から委託元への通知方法」の方向性について以下のとおり提案しています。
- 委託元への通知は速やかに行う必要があり、通知事項に関しては、個人情報保護委員会に速報として報告する場合と同じ事項を通知することが求める。
- 委託元、委託先の関係は状況によって様々であるため、委託先が委託元に速やかに通知を行うことで、委託先の個人情報保護委員会への報告義務自体は免除する。
- その場合も、委託先は、引き続き、漏えい等事案について適正に対処する必要があることは言うまでもなく、委託先は、実態把握を行うとともに、漏えい等報告にも協力する必要がある旨、ガイドライン等で明確化する。
6.個人情報保護委員会のその他の提案
個人情報保護委員会は、漏えい等報告・通知に関して、上記以外に以下の提案をしています。
(1)改正法において漏えい等報告の対象とならない事案の取扱いについて
7.その他の検討事項
(1)「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)との関係
「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号、以下「漏えい等告示」という。)では、現行の個人情報保護法の下において、個人データが漏えいした場合の個人情報取扱事業者の対応について記載されています。ただし、これらの対応は努力義務です。
以下では、改正個人情報保護法22条の2と「漏えい等告示」で定められる事項を比較したものです。
(2)金融分野ガイドライン・実務指針との整合性
金融分野の個人情報取扱事業者に適用される「金融分野における個人情報保護に関するガイドライン」(個人情報保護委員会・金融庁、以下「金融分野ガイドライン」という。)では、「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)も対象とされていますが、監督当局等への報告・本人への通知は「努力義務」とされています。
なお、同じく金融分野の個人情報取扱事業者に適用される、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」(個人情報保護委員会・金融庁、以下「金融分野実務指針」という。)では、個人データの漏えい事案等が発生した場合に、監督当局への報告・本人への通知が「義務」とされています(同実務指針2-6-1)。
対象事案は、金融分野ガイドライン(努力義務)では、「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)も対象としていますが、「金融分野実務指針」(義務)では「個人データ」のみ対象としています。
監督当局等への報告の期限は、金融分野ガイドライン(努力義務)では「直ちに」とされていますが、金融分野実務指針(義務)には特に規定はありません。
なお、「金融機関における個人情報保護に関するQ&A」(個人情報保護委員会・金融庁)(問IV-11)では、FAXの誤送信、郵便物等の誤送付及びメール誤送信などについては、個人情報取扱事業者が個別の事案ごとに、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性などを検討し直ちに報告を行う必要性が低いと判断したものであれば、業務上の手続きの簡素化を図る観点から、四半期に一回程度にまとめて報告しても差し支えないこととされています。
改正個人情報保護法22条の2により、漏えい等報告・本人通知が義務化することになり、上記の実務指針との関係でどのように整理されるのかが注目されます。
個人情報保護委員会は、漏えい等報告・通知に関して、上記以外に以下の提案をしています。
(1)改正法において漏えい等報告の対象とならない事案の取扱いについて
- 改正法における報告対象事案以外は、委員会として報告を求める対象ではない一方で、漏えい等のおそれの判断が困難な場合等に、事業者側から任意の報告ができるようにすべきである。
- 認定個人情報保護団体は、改正法における漏えい等報告の報告先となっていないが、認定個人情報保護団体の制度趣旨や、これまで対象事業者の漏えい等事案の対応・再発防止に関与してきたことを踏まえ、その関与の在り方を検討する必要がある。
- なお、この点を含め、認定個人情報保護団体の活動について、団体にとっても参考となるよう、望ましい取組の方向性等を委員会として示していくことが必要である。
- 改正法において、漏えい等報告を義務化した理由の1つとして、国際的な制度調和が挙げられることや、諸外国のデータ保護機関間で漏えい等事案の傾向が情報共有され、執行に活用されていることを踏まえ、我が国もこうした取組により積極的に貢献すべきである。
7.その他の検討事項
(1)「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)との関係
「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号、以下「漏えい等告示」という。)では、現行の個人情報保護法の下において、個人データが漏えいした場合の個人情報取扱事業者の対応について記載されています。ただし、これらの対応は努力義務です。
以下では、改正個人情報保護法22条の2と「漏えい等告示」で定められる事項を比較したものです。
| 改正法22条の2 | 漏えい等告示 | |
| 義務性 | 義務 | 努力義務 |
| 対象事案 |
|
|
| 報告 |
個人情報保護委員会への報告 ※義務 ※「速報」(速やかに)と「確報」(例:30日)あり。 |
個人情報保護委員会等への速やかな報告 ※努力義務 ※認定個人情報保護団体の対象事業者は認定個人情報保護団体を通じて報告 ※報告徴収・立入検査の権限が委任されている場合は、委任先に報告 |
| 本人への通知 |
|
|
| 望ましい対応 |
|
|
(2)金融分野ガイドライン・実務指針との整合性
金融分野の個人情報取扱事業者に適用される「金融分野における個人情報保護に関するガイドライン」(個人情報保護委員会・金融庁、以下「金融分野ガイドライン」という。)では、「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)も対象とされていますが、監督当局等への報告・本人への通知は「努力義務」とされています。
なお、同じく金融分野の個人情報取扱事業者に適用される、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」(個人情報保護委員会・金融庁、以下「金融分野実務指針」という。)では、個人データの漏えい事案等が発生した場合に、監督当局への報告・本人への通知が「義務」とされています(同実務指針2-6-1)。
対象事案は、金融分野ガイドライン(努力義務)では、「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)も対象としていますが、「金融分野実務指針」(義務)では「個人データ」のみ対象としています。
監督当局等への報告の期限は、金融分野ガイドライン(努力義務)では「直ちに」とされていますが、金融分野実務指針(義務)には特に規定はありません。
なお、「金融機関における個人情報保護に関するQ&A」(個人情報保護委員会・金融庁)(問IV-11)では、FAXの誤送信、郵便物等の誤送付及びメール誤送信などについては、個人情報取扱事業者が個別の事案ごとに、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性などを検討し直ちに報告を行う必要性が低いと判断したものであれば、業務上の手続きの簡素化を図る観点から、四半期に一回程度にまとめて報告しても差し支えないこととされています。
|
〇金融分野ガイドライン 第17 条 個人情報等の漏えい事案等への対応 1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等又は匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報の漏えい事案(以下「個人情報等の漏えい事案等」という。)の事故が発生した場合には、監督当局等に直ちに報告することとする。 2 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表することとする。 3 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うこととする。 |
|
〇金融分野実務指針 (漏えい事案等に対応する体制の整備) 2-6 金融分野における個人情報取扱事業者は、「漏えい事案等に対応する体制の整備」 として、次に掲げる体制を整備しなければならない。 ① 対応部署 ② 漏えい事案等の影響・原因等に関する調査体制 ③ 再発防止策・事後対策の検討体制 ④ 自社内外への報告体制 2-6-1 金融分野における個人情報取扱事業者は、1-2③又は6-6-1に基づき、 自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施しなければならない。 ① 監督当局等への報告 ② 本人への通知等 ③ 二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び 再発防止策等の早急な公表 |
| 改正法22条の2 | 金融分野実務指針 | |
| 義務性 | 義務 | 努力義務 |
| 対象事案 |
|
※「金融分野ガイドライン」では「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)(「個人情報等の漏えい事案等」)も対象とするが、努力義務とされる。 |
| 報告 |
個人情報保護委員会への報告 ※義務 ※「速報」(速やかに)と「確報」(例:30日)あり。 |
監督当局等への報告(期限について定めなし) ※「金融分野ガイドライン」では努力義務であるが監督当局等へ「直ちに」報告することを求めている。 |
| 本人への通知 |
|
|
添付ファイル:
