ガイドラインから考える令和2年改正個人情報保護法 (第3回:漏えい等発生時の個人情報保護委員会への報告義務(後編))(弁護士 中馬康貴)

1 報告は「速報」と「確報」の二本立て

 漏えい等の事象発生によって個人情報取扱事業者が個人情報保護委員会への報告義務を負う場合、個人情報保護委員会規則では、「速報」と「確報」の二段階に分けて報告を行わなければならないとされています。そして、規則において報告方法の詳細(報告事項や報告期限)定められ、更にガイドラインで規則の内容について補足がされています。

 なお、これらの報告義務を履行しなかった場合、個人情報保護委員会による勧告及び命令(改正法42条)の対象となり、命令に違反した場合には、公表(改正法42条4項)や罰則(行為者について改正法83条、法人について改正法87条。)の対象となります。

 

2 「速報」について

(個人情報保護委員会規則第6条の3第1項)

個人情報取扱事業者は、法第22条の2第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。

(1) 概要

(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目

(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数

(4) 原因

(5) 二次被害又はそのおそれの有無及びその内容

(6) 本人への対応の実施状況

(7) 公表の実施状況

(8) 再発防止のための措置

(9) その他参考となる事項

⑴ ガイドラインによると、報告期限の起算点となる「知った」時点は、個人情報取扱事業者が法人である場合、いずれかの部署が報告対象事態を知った時点を基準とするとされています。

 このように、起算点は「役員が当該事態を知った時点」ではないので、当該事態を役員が認識するまでに時間を要したため速報が遅れてしまった等の言い分は通りません。仮にある部署が報告対象事態を把握した場合には、当該部署限りで対応を検討するのではなく、直ちに社内全体に情報共有する枠組みを構築しておく、あるいは有事の際の対応部署・責任者を予め社内規程で定めておき、報告対象事態を把握した時点で直ちに当該部署・責任者に情報共有をする必要があります。

⑵ 次に、「速やかに」とは「概ね3~5日以内」とされています。そのため、速報時点での報告内容については、報告する時点において把握している内容を報告すれば足りるとされています。

⑶ 報告の方法としては、原則として個人情報保護委員会ホームページの報告フォームから行います。

 

3 「確報」について

(個人情報保護委員会規則第6条の3第2項)

前項の場合において、個人情報取扱事業者は、当該事態を知った日から30日以内(当該事態が前条第3号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。

⑴ 次に、報告対象事態を知ってから30日以内(不正の目的によるおそれがある漏えい等の場合は60日以内)に、速報の際に求められた⑴から⑼までの報告事項についてさらに調査を尽くし、確定的な報告をしなければなりません(速報をしてから30日(60日)以内ではなく、あくまで報告対象事態を知ってから30日(60日)以内であることに注意が必要です。)。

 仮に、期限内に合理的な努力を尽くしてもなお一部の事項が判明せず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第報告を追完することになります。

⑵ なお、細かい話ですが、確報の報告期限の算定に当たっては、土日祝日も含まれます。ただし、報告期限当日が土日、祝日又は年末年始閉庁日(12月29日~1月3日)であれば、その翌日が報告期限となります。

 

4 なぜ二段階の報告が必要なのか

⑴ 以上が「速報」と「確報」に関する説明ですが、そもそも、なぜ二段階にわたる報告が求められているのでしょうか(言い換えると、1回の報告だけではだめなのでしょうか。)?

 その理由は、本人の権利利益の保護のために必要だからです。

 仮に「確報」のみを義務付けた場合、個人情報保護委員会が漏えい等の事象を把握するまでに1カ月程度の時間が空くことになります。そうすると、個人情報取扱事業者の対応不備等の理由により二次被害の発生・拡大が生じかねません。「速報」を義務付けることによって個人情報保護委員会に早期に事態を把握させ、適切な措置を講じるよう指導させることによって、二次被害の発生・拡大を防止し、本人の権利利益の保護を企図しているのです。

 また、「速報」のみを義務付けた場合も、「速報」の時点では明らかでなかった漏えい等の発生原因や、再発防止のために行った措置の内容を個人情報保護委員会が把握できず、本人の権利利益保護の観点から適切な指導・監督を行うことができません。

 令和2年改正法により個人情報取扱事業者に漏えい等発生時の報告を義務付けた趣旨は、本人の権利利益をより手厚く保護する点にあるところ、その趣旨を全うするため、初動段階から調査完了段階に至るまで適切な監督が行き届くよう、二段階の報告が必要なのです。

⑵ ちなみに、ガイドラインは、あらゆる場合に2回の報告を求めておらず、速報の時点で全ての事項を報告できるのであれば、1回の報告で速報と確報を兼ねることができるとされています。もっとも、「速報の時点で全ての事項を報告できる」場合は、報告義務は負うものの軽微であって、漏えい等の原因も明確であり、ゆえに再発防止策も立てやすい事案に限られると考えます。

 次回は、個人情報保護委員会への報告と併せて義務付けられた、本人への通知義務について説明いたします。

つづく

(弁護士 中馬康貴 記)

最近の投稿
リーガルコンパス(帝国ニュース兵庫県版)
第151回「内部通報窓口・体制整備の現状」(弁護士 中馬康貴)
『判例地方自治』に稲田優弁護士の執筆記事が掲載されました
リーガルコンパス(帝国ニュース兵庫県版)
第150回 サステナビリティ開示と非上場企業(弁護士 山添慎一郎)
リーガルコンパス(帝国ニュース兵庫県版)
第149回 遺言制度改正の動き(弁護士 二宮淳次)
News Letter Vol.18 を発行いたしました
カテゴリー一覧
News Letter(5)
SDGs(持続可能な開発目標)(10)
アジア(10)
ご挨拶(12)
ジェンダー(6)
セミナー・講演会・研修会(19)
事務所紹介(10)
会社 (M&Aを含む)(14)
個人情報(9)
労務(9)
地域(17)
家族(8)
政策コンテンツ交流フォーラムKOBE(5)
新型コロナウィルス対策(7)
法律情報(法改正など)(51)
法曹を志すみなさんへ(10)
著者一覧
神戸シティ法律事務所(194)
高島弁護士(43)
井口弁護士(26)
平田弁護士(20)
高橋弁護士(10)
石橋弁護士(15)
中馬弁護士(26)
福永弁護士(14)
二宮弁護士(8)
山添弁護士(3)
稲田弁護士(6)
井口奈緒子弁護士(7)

関連する記事

お問い合わせ