個人情報保護法の改正により、個人情報保護委員会への報告義務が新設されました。
これにより、2022年4月1日以降に一定の個人情報の漏えい等が発生した場合には、個人情報保護委員会へ報告しなければなりません。
では、個人情報保護委員会への報告義務が課されるのは、どのような漏えい等が生じた場合なのでしょうか?
また、個人情報保護委員会への報告は、いつまでに行う必要があるのでしょうか?
今回は、個人情報保護委員会への報告義務について、弁護士がくわしく解説します。
目次
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報保護委員会への漏えい等報告義務とは
個人情報保護委員会への漏えい等報告義務とは、個人の権利利益を害するおそれが大きい個人データの漏えい等が発生した場合に、個人情報保護委員会へその旨を報告すべき義務です(個人情報保護法26条)。
2022年4月に施行された改正個人情報保護法により、新たにこの報告を義務づける規定が創設されました。
なお、「個人データ」とは、個人情報データベース等を構成する個人情報を指します。
また、「個人情報データベース等」とは、個人情報を含む情報の集合物であって特定の個人情報を容易に検索できるように体系的に構成された一定のものを指します。
たとえば、名刺ファイルに五十音順に整理したファイルが「個人情報データベース等」であり、これを構成する1枚1枚の名刺が「個人データ」です。
同様に、個人情報が入力されたExcelや顧客管理ソフトが「個人情報データベース等」であり、これを構成する1件1件のデータが「個人データ」に該当します。
そして、「漏えい等」とは、漏えい、滅失、毀損を指します。
漏えいだけが報告義務の対象となるわけではないため、誤解のないようご注意ください。
個人情報保護委員会への漏えい等報告が必要となるケース
すべての個人データの漏えい等について、個人情報保護委員会への報告義務があるわけではありません。
個人情報保護委員会への報告義務が生じるのは、次のいずれかに該当する漏えい等が生じた場合又は生じたおそれがある場合です。
- 要配慮個人情報の漏えい等
- 財産的被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000人を超える個人データの漏えい等
ただし、他の事業者などから個人データの取扱いに関する業務を受託した事業者において漏えい等が発生した場合において、漏えい等が生じた旨を委託元の事業者などに対して通知をした場合には、受託者は個人情報保護委員会に漏えい等報告をする必要はないとされています(同26条1項但し書き)。
自社で起きた事態が報告義務のある漏えい等であるか否か判断に迷う場合には、個人情報保護法に強い弁護士へ早期にご相談ください。
要配慮個人情報の漏えい等
個人情報保護委員会への報告義務がある漏えい等の1つ目は、要配慮個人情報が含まれる漏えい等です。
要配慮個人情報とは、本人に対する不当な差別や偏見その他の不利益が生じないように、その取り扱いに特に配慮を要する個人情報です。
次の情報などが、要配慮個人情報に該当します(同2条3項、個人情報保護法施行令2条)。
- 人種:人種、世系・民族的または種族的出身を広く意味する。単純な国籍や「外国人」という情報、肌の色だけの情報は人種には含まない
- 信条:個人の基本的なものの見方・考え方。思想と信仰の双方を含む
- 社会的身分:ある個人にその境遇として固着しており、一生の間自らの力で容易にそれから脱し得ないような地位を意味する。単なる職業的地位や学歴は含まない
- 病歴:病気に罹患した経歴を意味する。特定の病歴を示した部分(がんに罹患している、統合失調症を患っている等)が該当する
- 犯罪の経歴:前科、すなわち有罪の判決を受けこれが確定した事実
- 犯罪により害を被った事実:身体的・精神的・金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する
- 身体障害、知的障害、精神障害などの障害があること
- 健康診断その他の検査の結果:疾病の予防や早期発見を目的として行われた健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、遺伝子検査など、受診者本人の健康状態が判明する検査の結果が該当する
- 保健指導・診療・調剤情報:法律に定められた保健指導に限定されるものではなく、任意で実施した保健指導の内容や、保健指導等を受けたという事実も該当する
- 本人を被疑者または被告人として、逮捕・捜索等の刑事事件に関する手続きが行われたこと:本人を被疑者または被告人とするものに限り、他人を被疑者とする犯罪捜査のために取調べを受けた事実は該当しない
- 本人を非行少年またはその疑いがある者として、保護処分等の少年の保護事件に関する手続きが行われたこと
具体的には、次の場合などはこの要配慮個人情報が含まれる漏えい等に該当するでしょう。
- 病院が、患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 従業員の健康診断等の結果を含む個人データが漏えいした場合
財産的被害のおそれがある漏えい等
個人情報保護委員会への報告義務がある漏えい等の2つ目は、財産的被害のおそれがある漏えい等です。
たとえば、次の場合などはこれに該当すると考えられます。
- 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
- クレジットカード番号を含む個人データの漏えい
一方で、住所、電話番号、メールアドレス、SNSアカウント、銀行口座情報といった個人データのみの漏えいは、直ちに財産的被害のおそれがある漏えい等には該当しないとされています。
不正の目的によるおそれがある漏えい等
個人情報保護委員会への報告義務がある漏えい等の3つ目は、不正の目的によるおそれがある漏えい等です。
次の場合などが、これに該当します。
- 不正アクセスにより個人データが漏えいした場合
- ランサムウェアなどにより個人データが暗号化され、復元できなくなった場合
- 個人データが記載・記録された書類・媒体などが盗難された場合
- 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
- ウェブサイトが改ざんされ、ユーザーが入力した個人情報が第三者に送信された場合
このように、「不正の目的」の主体は第三者だけではなく、従業者も含まれるとされています。
1,000人を超える個人データの漏えい等
個人情報保護委員会への報告義務がある漏えい等の4つ目は、1,000人を超える個人データの漏えい等です。
たとえば、次の場合などがこれに該当します。
- システムの設定ミスによりインターネット上で個人データの閲覧が可能な状態となり、その個人データに係る本人の数が1,000人を超える場合
- 1,000人超の自社会員にメールマガジンの配信を行う際、本来メールアドレスをBCC欄に入力して送信すべきところ、CC欄に入力して一括送信した場合
なお、「1,000人超」という人数は、個人情報保護法施行規則7条で定められています。
個人情報保護委員会に漏えい等報告をすべきタイミング
個人情報保護委員会への漏えい等報告は、いつまでに行う必要があるのでしょうか?
ここでは、報告義務を果たすべきタイミングを解説します。
速報:発覚から3~5日以内
個人情報保護委員会への報告義務がある漏えい等が発生した場合、まずは速報として速やかに報告しなければなりません(個人情報保護法施行規則8条1項)。
具体的な期限は法令に記載されていないものの、個人情報保護委員会事務局が公表している資料では「おおむね3日から5日以内」と記載されているため、これを目安にするとよいでしょう。※1
速報として報告すべき事項は、次のとおりです。
- 概要
- 漏えい等が発生し、または発生したおそれがある個人データの項目
- 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害またはそのおそれの有無およびその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置その他参考となる事項
ただし、報告をしようとする時点において把握しているものを報告すれば足りるとされており、これらがすべて発覚するまで報告を待つことは適切ではありません。
※1 個人情報保護委員会:漏えい等の対応とお役立ち資料
確報:原則として発覚から30日以内
漏えい等の発覚から30日以内に、個人情報保護委員会へ改めて確報を伝えます(同2項)。
ただし、個人情報保護委員会への報告義務がある漏えい等のうち不正の目的によるおそれがある漏えい等の場合には、期限が例外的に60日以内となります。
ここで報告すべき事項は、先ほど紹介した速報での報告事項と同じです。
確報では、全ての事項を報告しなければなりません。
ただし、合理的努力を尽くしたうえで、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、追完するものとされています。
そのため、この報告期限までに調査を進め、個人情報保護委員会へ報告できるだけの情報を集める必要があります。
漏えい等報告フォームの入手方法
個人情報保護委員会への報告は、個人情報保護委員会のウェブサイトに設けられている「漏えい等報告フォーム」から行います。
記載例を参考に、あらかじめ入力すべき事項を確認したうえで、フォームへの入力を進めるとよいでしょう。
個人情報保護委員会への漏えい等報告と併せて行うべき本人通知とは
個人情報保護委員会に漏えい等報告をすべき場合には、これと併せて本人への通知もしなければなりません(個人情報保護法26条2項)。
最後に、本人への通知について解説します。
本人通知の概要
個人情報保護委員会への報告義務がある漏えい等が生じた場合、本人への通知も必要です。
本人への通知について具体的な期限は定められておらず、「事態の状況に応じて速やかに」とされています(個人情報保護法施行規則10条)。
本人に通知すべき事項は、次の情報のうち、本人の権利利益を保護するために必要な範囲の情報です(同10条、同8条1項)。
- 概要
- 漏えい等が発生し、または発生したおそれがある個人データの項目
- 原因
- 二次被害またはそのおそれの有無およびその内容
- その他参考となる事項
本人への通知方法
個人データの漏えい等が生じた事実を本人へ通知する方法としては、次のものなどが想定されます。
- 文書の郵送
- 電子メールの送信
ただし、本人への通知が困難な場合は、本人の権利利益を保護するため必要な措置をとることで通知に代えることが可能です。
この場合は、次の措置などを検討します。
- 自社ホームページなどでの公表
- 問い合わせ窓口の設置
特に、要配慮個人情報を含む漏えい等や財産的被害のおそれがある漏えい等が生じた場合、その情報の対象である本人の不安は大きいことでしょう。
通知や公表などの措置に不備があると、企業の信頼がさらに失墜するおそれがあるほか、法的トラブルが激化してしまいかねません。
本人への通知や公表の内容などでお困りの際は、弁護士へご相談ください。
弁護士のサポートを受けることで、適切な通知や公開をしやすくなります。
まとめ
個人情報保護委員会への報告義務が必要となる事態や報告すべき時期、報告すべき内容などを解説しました。
要配慮個人情報の漏えい等や財産的被害のおそれがある漏えい等、不正の目的によるおそれがある漏えい等など個人の権利利益を害するおそれが大きい個人データの漏えい等が発生した場合や、1,000人を超える個人データの漏えい等が生じた場合などには、個人情報保護委員会への報告をしなければなりません。
報告は、発生から3日から5日以内に行う速報と、発生後原則として30日以内に行う確報の2回が必要です。
また、個人情報保護委員会への報告義務がある漏えい等が生じた場合は、本人への通知も行わなければなりません。
個人情報保護委員会への漏えい等報告義務や本人への通知義務を適切に果たすためには、弁護士のサポートを受けるのがおすすめです。
弁護士のサポートを受けることで、義務を適切に果たすことが可能となり企業の信頼回復につながりやすくなるほか、再発防止策を講じやすくなります。
また、個人情報保護委員会への報告や本人通知のほか、民事として損害賠償請求などが必要となる場合も少なくありません。
弁護士に相談することで、損害賠償などまでを見据えた対応が可能となります。
Authense法律事務所では、企業法務に特化した専門チームを設けており、個人情報保護法への対応についても多くの実績があります。
個人情報の漏えい等が生じてお困りの際や、個人情報保護委員会への報告義務を適切に果たしたい場合は、Authense法律事務所までお気軽にご相談ください。
