トピックス

2021.01.27
NEWS

【最新情報:改正個人情報保護法】漏えい等報告及び本人通知(政令案・委員会規則案を踏まえたもの)

 
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
【下記のニュースレター形式(PDF)もご覧ください】 
最新情報:漏えい等報告及び本人通知(政令案・委員会規則案を踏まえたもの)

漏えい等報告の様式

【下記もご覧ください】
【最新情報:改正個人情報保護法】個人関連情報の第三者提供の制限等(政令案・委員会規則案を踏まえたもの)

 「個人情報の保護に関する法律等の一部を改正する法律案」(令和2年法律第44号)に関して、2020年12月25日に『「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に関する意見募集について』(意見募集:2020年12月25日、受付締切:2021年1月25日)が公表されました。
 本ニュースレターでは、同パブリックコメントで公表された施行令・施行規則の改正案のうち、本改正で新たに設けられる「漏えい等報告及び本人通知」について解説いたします。

1.改正条文
改正個人情報保護法22条の2に新たに「漏えい等の報告等」の規定が設けられますが、①どのような場合に個人情報保護委員会への漏えい等の報告が必要となるのか、②本人の通知はどのような場合に必要となるのか、については、「個人情報保護委員会規則」で定められています。
 
〇改正後の個人情報の保護に関する法律
 
(漏えい等の報告等)
第22条の2 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
 
〇改正後の個人情報の保護に関する法律施行規則
 
(個人の権利利益を害するおそれが大きいもの)
第6条の2 法第22条の2第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態
二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
 
(個人情報保護委員会への報告)
第6条の3 個人情報取扱事業者は、法第22条の2第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
一 概要
二 漏えい等が発生し、又は発生したおそれがある個人データの項目
三 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
四 原因
五 二次被害又はそのおそれの有無及びその内容
六 本人への対応の実施状況
七 公表の実施状況
八 再発防止のための措置
九 その他参考となる事項
2 前項の場合において、個人情報取扱事業者は、当該事態を知った日から30日以内(当該事態が前条第3号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。
3 法第22条の2第1項本文の規定による報告は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める方法により行うものとする。
一 個人情報保護委員会に報告する場合電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と報告をする者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。以下この項において同じ。)を使用する方法(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては、別記様式第一による報告書を提出する方法)
二 法第四十四条第一項の規定により、法第二十二条の二第一項の規定による権限の委任を受けた事業所管大臣に報告する場合別記様式第一による報告書を提出する方法(当該事業所管大臣が別に定める場合にあっては、その方法)
 
(他の個人情報取扱事業者への通知)
第6条の4 個人情報取扱事業者は、法第22条の2第1項ただし書の規定による通知をする場合には、第6条の2各号に定める事態を知った後、速やかに、前条第一項各号に定める事項を通知しなければならない。
 
(本人に対する通知)
第6条の6 個人情報取扱事業者は、法第22条の2第“項本文の規定による通知をする場合には、第6条の2各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第6条の3第1項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。
 
 
2.漏えい等報告・本人通知の対象となる事態
(1)基本的な考え方
 改正法において「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」を漏えい等報告・本人通知の対象としています。
現行の告示に基づいて委員会に報告された事案についてみると、漏えい等の対象となった本人の数だけで重大性を判断できるものではありません
 制度改正大綱の意見募集においても、形式的に漏えいされた個人データの数だけを考慮するのではなく、個人の権利利益に対する実質的な影響を考慮すべきとの意見がありました。
 また、漏えい等報告を義務化している諸外国の個人情報保護法制においても、その要否を判断するにあたって、様々な要素を考慮している。例えば、GDPR(EU一般データ保護規則)においては、個人データ侵害のリスクを評価するにあたって、侵害の種類、個人データの性質・機微性及び量等複数の要素を考慮するとされています。
 一方で、事業者が個人情報保護委員会への報告及び本人通知の要否を判断できるよう、基準として明確 かつ簡便である必要があります。
 そこで、令和2年(2020年)10月30日に開催された第156回個人情報保護委員会に提出された委員会資料においては、「様々な考慮要素の中から、まずは個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質・内容、漏えい等の態様、漏えい等の事態の規模等を考慮した上で、対象となる事態を定めるものとしてはどうか。」との考え方が示されています。
 
(2)漏えい等報告が必要となる場合(改正規則6条の2)
 改正規則6条の2では、改正法22条の2第1項本文の「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」、すなわち、個人情報取扱事業者が個人情報保護委員会への漏えい等報告が必要となる場合として、以下の場合を定めています。
 
【漏えい等報告が必要となる場合】
①要配慮個人情報が含まれる個人データ漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態(改正規則6条の2第1号)
②不正に利用されることにより財産的被害が生じるおそれがある個人データ漏えい等が発生し、又は発生したおそれがある事態(例:クレジットカード番号やインターネットバンキングのID・パスワード等の漏えい等の発生またはその発生のおそれ)(同条2号)
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(例:不正アクセスや従業員による持ち出し等)(同条3号)
④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(同条4号)
 
 ただし、上記①から④のいずれの場合も、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、漏えい等報告が不要とされています。
また、下記5の委託先から委託元に通知する場合も漏えい等報告は不要となります(改正法22条の2第1項ただし書)。
 上記①から④のいずれの場合も「個人データ」の「漏えい、滅失または毀損」(「漏えい等」)が「発生した事態」、又は「発生したおそれがある事態」が対象となっています。
 上記①から③までの場合は、1件以上の個人データの漏えい等またはその発生した恐れがある場合でも漏えい等報告の対象となります。これに対して、上記④の場合は、1000件以上の漏えい等またはその発生した恐れがある場合に漏えい等報告の対象となります。
なお、本人通知が必要となる場合も個人情報保護委員会への報告を要する事態が生じた場合であり同一です(改正規則22条の2第2項、下記4参照)。
 
〇漏えい等報告・本人通知が必要となる場合


 令和2年(2020年)10月30日に開催された第156回個人情報保護委員会に提出された委員会資料においては、以下のような考え方が示されています。
 
ア 対象となる事態の類型と対象となる情報・件数
①個人データの性質:要配慮個人情報
 機微性は様々ですが、特に要配慮個人情報は、その取扱いによっては差別や偏見を生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいとされています。
②個人データの内容:財産的被害が発生するおそれがある場合
 漏えい等によってクレジットカード番号等が不正利用される事案は、従前から大きな問題となっています。このように、財産的被害が発生するおそれがある場合例:クレジットカード番号やインターネットバンキングのID・パスワード等)は、個人の権利利益に対する影響が大きいとされています。
③漏えい等の態様:故意による漏えい
 過失により生じたものと故意により生じたものでは、個人の権利利益に対する影響が異なり、故意によるもの例:不正アクセスや従業員による持ち出し等)は、類型的に二次被害が発生するおそれが大きいとされています。
④大規模な漏えい
 上記①から③までに該当しない事案であっても、一定数以上の大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられるとされています。
 「大規模の漏えい等」の「一定数以上」については、これまでに発生した漏えい等事案について、件数の分布や事案の傾向等を踏まえて、基準を検討する必要があるものとしています。
そして、例えば、過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて、1,000人を基準とすることが考えられる、と提案されています。
⑤漏えい等の「おそれ」がある場合
 漏えい等が確定していない段階においても、事業者が漏えい等の「おそれ」を把握した場合、事態を把握した上で、漏えい等が発生していた場合の被害を最小限にする必要があります。
 「おそれ」が生じた時点で、個人情報保護委員会が報告を受け、事態を把握することができれば、当該事業者に対して、必要な措置を講じるよう、求めることができます
また本人としても、「おそれ」が生じた時点で、早期に事態を把握することができれば、本人として必要な措置を講じることができます
 したがって、漏えい等の「おそれ」がある事態についても、漏えい等報告・本人通知の対象としてはどうか、と提案されています。
 
イ 暗号化された個人データの取扱い
 暗号化が講じられた個人データの漏えい等について、「個人の権利利益を害するおそれが大きいもの」に該当するか、検討する必要があります。
 暗号化については、その方法にもよりますが、漏えい等が発生した場合においても、権限のない第三者が見読することを困難にする措置として有効であり、現行の告示に基づく報告制度においても、「高度な暗号化等の秘匿化」がされた個人データは報告の対象外とされています。
 なお、改正法において、「仮名加工情報である個人データ」は、漏えい等報告の対象外となっています。
 そこで、高度な暗号化等の秘匿化がされた個人データについては、漏えい等報告・本人通知の対象外となる場合を認める方向で検討してはどうかと提案されています。

(3)個人情報保護委員会への報告(改正法22条の2第1項、改正規則6条の3)
 
〇速報・確報
報告の種類 報告期限 報告内容
速報 速やかで(ガイドラインで目安) その時点で把握している事項
確報 原則:事態を知った日から30日
※不正の目的をもって行われた行為による漏えい等については、事態を知った日から60日
報告が求められる事項について全て報告をする
 
ア 報告事項(改正規則6条の3第1項)
 改正規則6条の3第1項各号では以下の①から⑨までの事項が個人情報保護委員会への報告事項とされています。報告書の様式(改正規則の「別記様式第一(第六条の三第三項関係)」)では、それぞれの報告事項について更に下記の細目を定めています。
 
①概要(1号)
・発生日  ・発覚日  ・発生事案  ・規則6条の2各号該当性  ・委託元の有無 ・委託先の有無  ・事実経過(概要、発覚の経緯・発覚後の事実経緯(時系列)、外部機関による調査の実施状況(規則6条の2第3号に該当する場合のみ記載))

②漏えい等が発生し、又は発生したおそれがある個人データの項目(2号)
・媒体(紙、電子媒体、その他)  ・種類(顧客情報、従業員情報、その他)  
・項目(氏名、生年月日、性別、電話番号、メールアドレス、クレジットカード情報、パスワード、その他)

③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数(3号)
・人数/うちクレジットカード情報を含む人数

④原因(4号)
・主体(報告者、委託先、不明)
・原因(不正アクセス(攻撃箇所・攻撃手法)、誤交付、誤送信(メールを含む)、誤廃棄、紛失、盗難、従業員不正、その他) ・詳細

⑤二次被害又はそのおそれの有無及びその内容(5号)
・有無/不明  ・詳細

⑥本人への対応の実施状況(6号)
・対応済(対応中)  ・対応予定  ・予定なし
・詳細(予定なしの場合は理由を記載)

⑦公表の実施状況(7号)
・事案の公表(実施済(公表日))  ・実施予定(公表予定日)
・公表の方法(ホームページに掲載/記者会見/報道機関への資料配布/その他)
・公表文

⑧再発防止のための措置(8号)
・実施済の措置  ・今後実施予定の措置(長期に講ずる措置を含む)及び完了時期

⑨その他参考となる事項(9号)
 
イ 速報・確報
 漏えい等が発生した際の委員会への報告については、速やかに行う必要がある一方で、原因や再発防止策等、把握に時間を要する内容も報告に含める必要があるところ、これらの要請を満たす報告を一度に行うことは困難です。
 そこで、漏えい等の報告の期限については、速報と確報の二段階の報告をすることとされています。
 速報については、事業者に漏えい等が発覚した後、速やかに報告することを求めるものですが、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていない場合があることに留意する必要があります。
 他方、確報については、原因や再発防止策も含めて報告を求めるものであり、事実関係の把握に時間を要することから、一定の時間的猶予を設ける必要があります。
 
①速報(改正規則6条の3第1項)
個人情報取扱事業者は、上記(2)の漏えい等報告が必要となる事態を知った後、速やかに、上記アの①から⑨までの報告事項のうち、報告をしようとする時点において把握している事項を報告しなければなりません。
個人情報保護委員会が事態を早急に把握し、必要な措置を講じることができるようにするという漏えい等報告の趣旨からすれば、事案に関わらず一律に期限を設け、報告することを求めることも考えられるが、事業者が事態を把握するのに要する時間については、個別具体的な事情によるところが大きいです。
そこで、個人情報保護委員会からは、個人情報保護委員会規則においては、明確な時間的制限を設けることなく、「速やかに」と定められています。その目安についてはガイドラインで示される予定です
 また、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていないこともありますので、報告内容については、現行の告示で報告内容とされている事項をもとに検討を行った上で、速報の段階においては、その時点で把握している事項を報告対象としています。
 
※時間的即時性のある法令用語としては、「速やかに」のほかに、「直ちに」、「遅滞なく」があります。
時間的即時性では、「直ちに」⇒「速やかに」⇒「遅滞なく」の順番となります。
ニュアンス的には、「直ちに」は「正にすぐに」、「速やかに」は「可能な限り早く」、「遅滞なく」は「正当な理由・合理的な理由がない限り早く」という感じです。
 
②確報(改正規則6条の3第2項)
 個人情報取扱事業者は、上記(2)の漏えい等報告を要する事態(「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」を除く。)を知った日から30日以内に、当該事態に関する報告事項(上記アの①から⑨の事項)を報告しなければなりません。
 個人情報取扱事業者は、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」を知った場合は、知った日から60日以内に、当該事態に関する報告事項(上記アの①から⑨の事項)を報告しなければなりません。
確報」においては、上記アの①から⑨までの報告事項について全て報告をする必要があります。
30日以内」とされているのは、個人情報保護委員会へのこれまでの報告実績を踏まえたものです。これに対して、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」について「60日以内」とされているのは、不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要となることから、他の事案よりも時間的猶予を認めたものです。
 
ウ 個人情報保護委員会等への報告の方法(改正規則6条の3第3項)

①個人情報保護委員会に報告する場合(同項1号)
    • 電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と報告をする者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。)を使用する方法(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合は、別記様式第一による報告書を提出する方法)
②権限の委任を受けた事業所管大臣に報告する場合(同項2号)
    • 別記様式第一による報告書を提出する方法(当該事業所管大臣が別に定める場合には、その方法)
 4.本人への通知(改正法22条の2第2項)
(1)通知を行う事態(改正規則6条の5、6条の2)
 個人情報取扱事業者は、上記2(2)の個人情報保護委員会への報告を要する事態(改正規則6条の2)が生じた場合(上記2(2)ア参照)には、本人に対しても通知を行う必要があります(改正規則6条の5)。
 
【本人通知が必要となる場合】
  • 要配慮個人情報が含まれる個人データ漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態(改正規則6条の2第1号)
  • 不正に利用されることにより財産的被害が生じるおそれがある個人データ漏えい等が発生し、又は発生したおそれがある事態(例:クレジットカード番号やインターネットバンキングのID・パスワード等の漏えい等の発生またはその発生のおそれ)(同条2号)
  • 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(例:不正アクセスや従業員による持ち出し等)(同条3号)
  • 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(同条4号)
 
 ただし、上記①から④のいずれの場合も、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、本人通知は不要とされています。
また、下記(4)の「本人通知をすることを要しない場合」(改正法22条の2ただし書)および下記5の「委託先から委託元に通知をした場合」(改正法22条の2第1項ただし書)も本人への通知は不要です。
 
(2)通知のタイミング(改正規則6条の5)
 個人情報取扱事業者は、上記(1)の通知を行う事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において本人に通知を行う必要があります。
 「当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において」行うこととされているのは、本人に対する通知は速やかに行う必要がある一方で、その具体的なタイミングは、事案によって異なります。また、事案によっては、速やかに通知することにより、かえって本人に不利益が生ずる場合もあり、本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はないとの考え方に基づくものです。
 
(3)通知事項・通知方法
 本人への通知事項は、当該本人の権利利益を保護するために必要な範囲において以下の事項(個人情報保護委員会への報告事項(改正規則6条の3)の一部)を通知(改正規則6条の5)することとされています。

①概要(改正規則6条の3第1号)
②漏えい等が発生し、又は発生したおそれがある個人データの項目(同条2号)
③原因(同条4号)
④二次被害又はそのおそれの有無及びその内容(同条5号)
⑤その他参考となる事項(同条9号)
 
 通知事項・通知方法は本人にとってわかりやすい形となるようガイドライン等で例示される予定です。

(3)本人通知をすることを要しない場合(改正法22条の2ただし書)
 個人情報取扱事業者は、上記(1)の通知を行う事態を知った場合であっても、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、本人への通知をすることを要しません。
 具体的には、「個人データ」の漏えい数が多数であり、本人への通知が困難である場合には、公表によって本人への通知に代替することが想定されますが、ガイドラインによる指針を待つ必要があります。

5.委託先から委託元への通知(改正法22条の2第1項ただし書)
(1)委託先への通知
 個人情報取扱事業者は、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合には、当該事態が生じた旨を当該委託元の個人情報取扱事業者に通知した場合は、個人情報保護委員会への漏えい等報告および本人への通知をすることを要しません(改正法22条の2第1項ただし書、2項)。
 個人データの漏えい等の事態が発生した場合、原則として、委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負うことになりますが、委託先が委託元である個人情報取扱事業者に当該事態が発生した旨を通知したときは、委託先から個人情報保護委員会への報告義務を免除することとしています。この場合、委託元から委員会に報告を行うことになります。
委託元、委託先のどちらが主として漏えい報告や本人への通知を行うかについては、個人情報の取扱状況や、委託の状況等に応じて、あらかじめ、業者間で決めておくことが適切です。
その上で、委員会や本人との関係では、委託元、委託先のどちらが主として漏えい報告等の対応を行ったとしても、適切な対応がなされるようにすることが必要です。
(2)通知のタイミング
 個人情報取扱事業者は、漏えい等報告の事態(改正規則6条の2各号、上記2(2))を知った後、速やかに、委託先の個人情報取扱事業者に対して、個人情報保護委員会への漏えい等報告の対象となる事項(改正規則6条の3第1項各号、上記2(3)参照)を通知する必要があります。