本記事では、企業が個人データを漏洩した際の実務的対応の概要を説明します。
2003年に個人情報の保護に関する法律が制定されて以降の個人情報についての権利意識の高まりや、度重なる同法の改正による義務の強化などから、企業としては、個人データ漏洩について、より適切な対処が求められています。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人データとは
個人情報の保護に関する法律(以下「個人情報保護法」といいます。)は、データ漏洩などについては、「個人データ」が漏洩などした場合に、「個人データベース等」を事業の用に供している者(「個人情報取扱事業者」)に一定の義務を課しています。
他方で、「個人データ」に該当しない狭義の個人情報の漏洩などについては、上記義務の対象としていません。
そのため、いかなる個人情報が「個人データ」に該当するか確認する必要があります。
個人情報保護法は、「個人データ」について、「個人情報データベース等を構成する個人情報」と定義しています(2条6項)。
「個人情報データベース等」とは、「特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物」とされています(個人情報保護法ガイドライン16頁 https://www.ppc.go.jp/files/pdf/220908_guidelines01.pdf)。
また、コンピュータを用いていない場合であっても、「紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの」も該当します(同16頁)。
ただし、次の(1)から(3)までのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しないとされています(同16頁)。
- (1)不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
- (2)不特定かつ多数の者により随時に購入することができ、又はできたものであること。
- (3)生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
2020年改正前の個人情報保護法の下での対応
個人データの漏洩が発生した場合の企業の対応について、2020年改正以前は、個人情報保護法上、具体的な規定を欠いていました。
また、個人情報法保護法の監督権限を有する個人情報保護委員会の告示「個人データの漏洩等の事案が発生した場合等の対応について」(https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf)においても、個人データの漏洩などが発生した場合の企業の対応としては、「影響を受ける可能性のある本人への連絡等」が「望ましい」との記載や、「個人情報保護委員会等への報告」をするよう「努める」との記載にとどまり、強制力のない努力義務が規定されているだけでした。
そのため、個人データ漏洩などの対応としては、各企業が自主的に事案の公表や再発防止策を講じたり、影響を受ける可能性ある者への連絡などを講じたりしている状況であり、個人情報を漏洩などされた個人の権利利益の保護としては、不十分な状態でありました。
-
些細なご相談もお気軽にお問い合わせください
-
メールでご相談予約
平日:10:00~最終受付18:00 /
土日祝:10:00~最終受付17:00
2020年改正個人情報保護法について
2020年改正により、「漏えい等の報告等」に関する規定が個人情報保護法に新設されました(22条の2)。
同改正により、個人データ漏洩などが生じた場合に、個人データ漏洩などを生じさせた企業には、当該事態が生じた旨を、①個人情報保護委員会に報告すること、②本人へ通知することが義務付けられました。
個人データ漏洩などが生じたすべての事態に報告及び通知の義務は課されてはいません。
報告及び通知の対象となる事態は、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」に限定されています。
同改正の趣旨は、個人情報保護委員会への報告義務については、「個人情報保護委員会が漏洩等の事態を早急に把握し、必要な措置を講じることができるようにするため」、本人への通知義務については、「通知を受けた本人が漏洩等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにある」、とされています(https://www.ppc.go.jp/files/pdf/201030_roueitouhoukoku.pdf)。
個人データが漏洩した場合の対応
個人データが漏洩した場合には、漏洩などを行った企業には、前述の個人情報保護委員会の告示に従い、漏洩などに対応する措置をとることを検討する必要が生じます。
また、個人データの内容などに応じては前述の個人情報法保護法22条の2に基づく報告・通知義務が、漏洩などを行った企業に生じます。
個人情報法保護委員会は、告示において漏洩などの対応として、具体的に講ずることが望ましい措置としては、以下の6つの措置を挙げています。
同告示は法的な義務を企業に課すものではありませんが、個人情報保護法の監督権限を有する個人情報法保護委員会の見解であり、漏洩などの対応として参考になるものと考えられます。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 影響の受ける可能性のある本人への連絡等
- 事実関係及び再発防止策等の公表
漏洩などの対応としては、個人情報法保護法の他、各分野のガイドラインにも定められている場合があります。
たとえば、「金融分野における個人情報法保護に関するガイドライン」においては、監督当局への報告義務や本人への通知などの義務が企業に課されています。
そのため、漏洩などの対応としては、個人情報法保護法のみならず、各関係分野の個人情報法保護に関するガイドラインについて事案に応じて確認の上、対応する必要があります。
各国での当局対応例について
近年、デジタル化の進展やビックデータのビジネスへの活用が急激に進んでいることなどを背景に、個人データ保護法制については、諸外国においても強化される傾向にあります。
個人情報保護法が規定するような個人データの漏洩などに対する通知義務などに相当する規定は諸外国の法制においてもみられます。
たとえば、EU加盟国において適用される「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則」(以下「GDPR」といいます。)、は33条及び34条に個人データ漏洩などへの対応するための規定が置かれています。
また、GDPRによる個人データ保護の対象は、EU域内に居住している者である必要はなく、EU域内に存在する者の個人データであれば保護の対象となるとされています。
そのため、EU域内に対象者が居住していなくとも個人データが保護の対象となり、GDPRが域外適用される結果、日本国内の企業であってもGDPRの保護の対象となる者の個人データを取扱うような場合は、思わぬところで同法の規制に服する可能性があります。
まとめ
個人データ保護法制については、個人データのビックデータなどへの活用や、それに伴う各個人の個人情報へ権利意識の高まりなどを背景として、国内外を問わず、絶えず強化されており、個人データを取り扱う企業としては、関連する法制の改定に常に対応していくことが求められます。
本記事では個人データ漏洩の対応について、個人情報保護法が要求している対応について、その概要をご説明するに留まりますが、実際の漏洩などの内容や規模などにより取るべき具体的な対応は、事案ごとに異なると考えられます。
そのため、個別案件における個人データ漏洩などへの対応について、お悩みの際には速やかに専門家にご相談されることをお勧めいたします。
なお、Authense法律事務所では、多様な企業法務ニーズに対応するさまざまな料金プランをご用意しております。ぜひ一度ご覧ください。
また、即戦力の法務担当者をお探しの企業様に向けた「ALS(法務機能アウトソーシングサービス)」のご案内など、各種資料のダウンロードも可能ですので、こちらもぜひご確認ください。