ガイドラインから考える令和2年改正個人情報保護法 (第2回:漏えい等発生時の個人情報保護委員会への報告義務(前編))(弁護士 中馬康貴)

1 個人情報保護委員会への報告・本人への通知が義務化されます

 個人情報を取り扱うにあたり避けては通れない問題として、個人情報の漏えい、滅失若しくは毀損(以下「漏えい等」といいます。)が発生した場合の対応が挙げられます。

 現行法は、漏えい等の事象が発生した場合であっても、監督官庁である個人情報保護委員会への報告や本人への通知は「努力義務」とされるにすぎませんでした。しかし、令和2年改正法において、一定の場合に、漏えい等の事象が発生したことを①個人情報保護委員会へ報告し、②本人に通知することが義務化されました(改正法22の2)。

 そこで、以下のとおり、漏えい等の事象が発生した場合における報告・通知の規律を複数回にわたって取り上げます。

 本稿(第2回):「個人情報保護委員会への報告義務(前編)」

 次回(第3回):「個人情報保護委員会への報告義務(後編)」

 次々回(第4回):「本人への通知義務」

 

※1 個人情報の保護に関する法律についてのガイドライン(通則編)

https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf

 

※2 ガイドライン(通則編)新旧対照表

https://www.ppc.go.jp/files/pdf/210802_guidelines01_shinkyu.pdf

 

※3 当事務所公式YouTubeチャンネルの動画「【ダイジェスト版】個人情報保護法のポイント」では、個人情報保護法のポイントを、個人情報、個人データなどの定義から、個人情報の取得・管理・利活用の各場面におけるルールをダイジェストで説明しておりますので、ぜひご視聴ください。

(YouTubeアドレス) https://www.youtube.com/watch?v=qvdhRQBqyzU

 

2 報告義務が生じる場合とは?

(改正法22条の2第1項)

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。(以下略)

 個人情報保護委員会への報告義務について、まず確認しておかなければならないのは、あらゆる場合に報告義務を負うわけではないということです。すなわち、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める」事象が生じた場合にのみ報告義務を負い、具体的には規則に報告義務を負う場合が列挙されています。

(個人情報保護委員会規則第6条の2)

⑴ 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第1 項において同じ。)の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態

⑵ 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

⑶ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

⑷ 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

 このように、報告が求められるケースは、⑴要配慮個人情報を含む場合、⑵不正利用により財産的被害が生じうる場合、⑶不正目的をもって行われたおそれのある漏えい等の場合、⑷漏えい等の規模が1000人を超える場合、の4つが挙げられています。

 なお、報告義務を負うのは、漏えい等が発生した場合のみならず、「発生したおそれがある場合」も対象です。「おそれ」とは、ある時点で判明している事実関係からして漏えい等が疑われるものの確証がない場合をいいます。

 

3 ガイドラインにおける具体例

 それでは、具体的にどのような場合に該当するのでしょうか。ガイドラインでは、上記に当てはまる具体例が紹介されています。

⑴ 要配慮個人情報が含まれる個人データの漏えい等

ア 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合

イ 従業員の健康診断等の結果を含む個人データが漏えいした場合

⑵ 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等

ア EC サイトからクレジットカード番号を含む個人データが漏えいした場合

イ 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

⑶ 不正の目的をもって行われたおそれがある個人データの漏えい等

ア 不正アクセスにより個人データが漏えいした場合

イ ランサムウェア等により個人データが暗号化され、復元できなくなった場合

ウ 個人データが記載又は記録された書類・媒体等が盗難された場合

エ 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

⑷ 個人データに係る本人の数が千人を超える漏えい等

 ⑷は数的な要件であるため、ガイドラインで具体例は挙げられていません。

 なお、「個人データに係る本人の数」について、事態が発覚した当初 1000人以下であっても、その後1000人を超えた場合には、その時点で報告義務を負います。

 それでは、本人の数が確定できない漏えい等の場合はどうでしょうか。この場合、漏えい等が発生したおそれがある個人データに係る本人の数が最大1000人を超えるのであれば、報告義務を負います。

 

4 改正法の留意点

⑴ 「⑴~⑶」と「⑷」は性質が異なる

 漏えい等の報告義務を負う上記4つの場合のうち、⑴(要配慮個人情報を含む場合)から⑶(不正の目的をもって行われたおそれがある漏えい等の場合)と、⑷(規模が1000人を超える場合)は性質が異なります。

 すなわち、⑷は、漏えい等の「規模」が基準となっていますので、漏えい等が発生した個人データの性質を問わず、その規模が1000人を超えれば報告義務を負います。

 他方で、⑴から⑶は、漏えい等が発生した個人データの性質や、漏えい等が発生した理由の重大性に着目しているため、仮に漏えい等が発生した件数が1件だけであっても報告義務を負うことになります。

⑵ 要配慮個人情報には要注意!

 また、特に⑴(要配慮個人情報を含む場合)には注意が必要です。この場合、漏えい等の対象となった個人データの中に「要配慮個人情報」が含まれてさえいれば報告義務を負うことになるため、「要配慮個人情報とは何か」を改めて確認いただく必要があるからです。

 例えば、漏えいした個人データの中に「病歴」や「犯罪の経歴」(個人情報保護法2条3項)が含まれる場合は、これらが「要配慮個人情報」であると比較的容易に判断できると思われます。しかし、「要配慮個人情報」には「健康診断等の結果」(個人情報保護法施行令2条2号)も含まれており、その「健康診断等の結果」には、その内容が何ら異常のない健康な場合も含みます(ガイドラインで挙げられている⑴イのケースは、まさにこの場合です。)。

 このように、「要配慮個人情報」は限定列挙ではあるものの、その種類は以下のとおり多岐にわたるため、見落としが無いよう注意が必要です。

※「要配慮個人情報」とは…

「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」(法2条3項)

(要配慮個人情報とされているもの)

・人種(法2条3項)

・信条(法2条3項)

・社会的身分(法2条3項)

・病歴(法2条3項)

・犯罪の経歴(法2条3項)

・犯罪により害を被った事実(法2条3項)

・身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること(個人情報保護法施行令2条1号、個人情報保護法施行規則5条各号)

・本人に対して医師その他医療に関連する職務に従事する者(以下「医師等」という)により行われた疾病の予防および早期発見のための健康診断その他の検査(以下「健康診断等」という)の結果(個人情報保護法施行令2条2号)

・健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと(個人情報保護法施行令2条3号)

・本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)(個人情報保護法施行令2条4号)

・本人を少年法3条1項に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(個人情報保護法施行令2条5号)

⑶ 平時から個人データの所在・管理方法の確認を!

 また、万が一漏えい等の事象が発生した場合に迅速に報告義務の有無を判断し、適時に報告を行うことができるように、平時から報告義務を負う種類の個人データ(例えば、1000人以上個人情報を含む個人データ、要配慮個人情報を含む個人データ、不正利用によって財産的被害が生じうる個人データ等)の所在を確認し、どのように管理しているのかを把握しておく必要があります。

 

5 報告方法について

 改正法22条第1項によると、個人情報保護委員会への報告義務を負う場合、その報告の具体的な方法も「個人情報保護委員会規則で定める」とされています。

 この点については、次回に説明いたします。

つづく

(弁護士 中馬康貴 記)

お問い合わせ