ガイドラインから考える令和2年改正個人情報保護法 (第4回:漏えい等発生時の本人への通知義務と公表)(弁護士 中馬康貴)

1 本人への通知義務

 本稿では、漏えい等の事象が発生した場合の本人への通知義務を取り上げます。

 改正法では、個人データの漏えい等の事象が発生した場合に、個人情報保護委員会へ報告する義務とともに、本人への通知も義務付けられました。

改正法22条の2第2項

 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

規則第6条の5

 個人情報取扱事業者は、法第22条の2第2項本文の規定による通知をする場合には、第 6条の2各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第 6条の 3第 1項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。

 本人への通知義務において押さえておくべきポイントは、①通知の時間的制限・具体的内容・方法と②例外的措置と公表の関係です。以下、順に説明を行います。

 

2 通知の具体的内容

⑴ 通知の「時間的制限」

ア 規則上、個人情報取扱事業者は、個人データの漏えい等の事態を知った後、「当該事態の状況に応じて速やかに」本人に通知をしなければなりません。

 ガイドラインでは「速やかに」の具体的期間を明示していません。これは、個別の事案によっては、早期に通知することによってかえって被害が拡大したり、混乱が生じることがあるからです。実際に、ガイドラインでは複数の事例を挙げ、必ずしも漏えい等を知った時点で通知を行う必要があるとはいえないとしています。

 事例1

 インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合

 事例2

 漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合

イ このように、本人への通知は速やかに行わなければなりませんが、一律に「速やかに」通知するのではなく、「本人の権利保護にとって何がベストか」との観点から、通知するタイミングを定めることになります。

 なお、次項の通知内容とも関連しますが、通知事項全てが判明するまでは本人への通知をする必要がない、ということはなく、通知による弊害がなければ順次本人へ通知をしなければなりません。

⑵ 通知の「内容」

ア 本人に通知しなければならない事項として、規則は次の事項を挙げています。

・概要(規則第6条の3第1項1号)

・漏えい等が発生し、又は発生したおそれがある個人データの項目(同項2号)

・原因(同項4号)

・二次被害又はそのおそれの有無及びその内容(同項6号)

・その他参考となる事項(同項9号)

  例:本人が自らの権利利益を保護するために取り得る措置

イ なお、規則上、本人への通知は「当該本人の権利利益を保護するために必要な範囲において」通知すれば足ります。そのため、ガイドラインでは、必ずしも個人情報保護委員会に対して報告する詳細な内容まで本人に通知する必要はなく、必要な内容を取捨選択してよいとしています。

⑶ 通知の「方法」

 本人への通知の方法は、当然ながら、通知内容を本人が認識できる合理的かつ適切な方法を用いることが要求されています。

 ガイドラインでは、文書や電子メールによる方法が典型例として挙げられています。

 

3 通知の例外~本人への通知が困難な場合~

⑴ 本人への通知が困難な場合とは

 改正法は、「本人への通知が困難な場合」には、「本人の権利利益を保護するため必要なこれに代わるべき措置」を講じれば、本人への通知義務を負わないこととしています。

 「本人への通知が困難な場合」の例として、ガイドラインでは①保有する個人データの中に本人の連絡先が含まれていない場合や②連絡先が古いために通知を行う時点で本人へ連絡できない場合が挙げられています。複数の連絡先を保有しており、そのうち一つの連絡先が使えないだけでは、「本人への通知が困難な場合」には該当しません。

⑵ 代償措置の内容

 このように、本人への通知が困難な場合、何もしなくてもよいわけではなく、代替措置を講じる必要があります。そこで、その内容が問題となりますが、ガイドラインは代替措置の一つとして「公表」を挙げています。

・事案の公表

・問合わせ窓口を用意して連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること

 

4 補論:公表について

 改正法とは直接関係がありませんが、ここで漏えい等の事態が生じた場合における公表の要否について触れておきます。

 個人情報保護法上、公表に関する規制はありません。ただし、個人情報保護委員会が法改正に伴って令和3年9月に更新したQ&A(未施行)では、以下のとおり公表の要否に関する説明がなされています(Q&A6-30)。

Q:漏えい等事案が発生した場合に、公表を行うことは義務付けられていますか。

A:本人への通知の代替措置として、事案の公表を行う場合を除き、事案の公表が義務付けられているものではありませんが、漏えい等事案の内容等に応じて、公表することが望ましいと考えられます。なお、二次被害の防止の観点から必要がないと認められる場合や、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、公表を行わないことが考えられます。

 現行法と異なるのは、本人への通知の代替措置としての公表が求められるようになった点です。従前は、公表義務までは負わないことを前提に、事案に応じて公表の要否が判断されてきましたが、今後は、本人への通知義務の履行の観点から、公表を選択するケースの増加が予想されます。

以上

(弁護士 中馬康貴 記)

最近の投稿
リーガルコンパス(帝国ニュース兵庫県版)
第151回「内部通報窓口・体制整備の現状」(弁護士 中馬康貴)
『判例地方自治』に稲田優弁護士の執筆記事が掲載されました
リーガルコンパス(帝国ニュース兵庫県版)
第150回 サステナビリティ開示と非上場企業(弁護士 山添慎一郎)
リーガルコンパス(帝国ニュース兵庫県版)
第149回 遺言制度改正の動き(弁護士 二宮淳次)
News Letter Vol.18 を発行いたしました
カテゴリー一覧
News Letter(5)
SDGs(持続可能な開発目標)(10)
アジア(10)
ご挨拶(12)
ジェンダー(6)
セミナー・講演会・研修会(19)
事務所紹介(10)
会社 (M&Aを含む)(14)
個人情報(9)
労務(9)
地域(17)
家族(8)
政策コンテンツ交流フォーラムKOBE(5)
新型コロナウィルス対策(7)
法律情報(法改正など)(51)
法曹を志すみなさんへ(10)
著者一覧
神戸シティ法律事務所(194)
高島弁護士(43)
井口弁護士(26)
平田弁護士(20)
高橋弁護士(10)
石橋弁護士(15)
福永弁護士(14)
中馬弁護士(26)
二宮弁護士(8)
山添弁護士(3)
稲田弁護士(6)
井口奈緒子弁護士(7)

関連する記事

お問い合わせ