【2022年4月施行】個人情報保護法改正、個人データ漏えい等の報告・対応について

2022年4月の改正個人情報保護法の施行まであとわずか。「まもりの種」でもこれまで、改正法について複数回に分けて解説してきました(これまでの記事は最下部参照)。今回の法改正は新しく制定された内容も多く、対応に時間を要しているとのお声もお聞きしています。

そこで今回は、特にお問い合わせの多い「個人データの漏えい等の報告・対応」について、詳しく解説していきます。

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」

漏えい時の報告について(「個人情報の保護に関する法律についてのガイドライン通則編」3-5~3-5-4より)

改正法では、個人データが漏えいした際、個人情報保護委員会に報告する法的義務が新たに追加されました。個人データの開示請求等の制限が緩和されたことも含めて、今後は企業が対応すべき機会が増えると予想されます。

一つでも対応を怠ると、罰則が課せられ、企業の社会的信用にも大きく影響してしまう可能性もあります。個人データが漏えいしてしまった場合の対処については、施行前に必ずフローを確立し、全従業員に周知しておきましょう。

前回の「漏洩発生時の報告・通知義務」についての具体的な事例などについて記事はこちら
https://www.mamoru-kun.com/tips/cm-personal-information-protection-law-education-202201/

漏えい時の報告について、特に関心が高い項目は次の3つです。

  • ①「漏えい、滅失、毀損」に該当する事例
  • ②「委託先・再委託先」の報告主体の考え
  • ③「委託先」からの報告タイミングの定義

それでは、一つずつ見ていきましょう。

①「漏えい、滅失、毀損」に該当する事例

個人データにおける「漏えい、滅失、毀損」とは、以下の通り定義されています。

・漏えい

「漏えい」とは、個人データが外部に流出することを指します。

【該当する具体例】

  • 事例 1)個人データが記載された書類を第三者に誤送付した場合
  • 事例 2)個人データを含むメールを第三者に誤送信した場合
  • 事例 3)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
  • 事例 4)個人データが記載又は記録された書類・媒体等が盗難された場合
  • 事例 5)不正アクセス等により第三者に個人データを含む情報が窃取された場合

ただし、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません。

なお、情報が流出してしまう以外にも、上記事例3のように情報がオープンになっている状態も漏えいに該当します。紙データ以上に、デジタルで管理している個人データに注意を払う必要があります。

ただし、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」もあり、例えば、次のような場合が該当します。

  • ・漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
  • ・漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
  • ・漏えい等事案に係る個人データ又は加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)
  • ・個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合

・滅失

「滅失」とは、個人データの内容が失われることを指します。

【該当する具体例】

  • 事例 1)個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合
  • 事例 2)個人データが記載又は記録された書類・媒体等を社内で紛失した場合

上記の場合であっても、その内容と同じデータが他に保管されている場合や個人情報取扱事業者が合理的な理由により個人データを削除する場合は、滅失に該当しません。

また、事例1で個人データが適切に廃棄されていない場合は、漏えいに該当する可能性があります。

・毀損

「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることを指します。

【該当する具体例】

  • 事例 1)個人データの内容が改ざんされた場合
  • 事例 2)暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
  • 事例 3)ランサムウェア等により個人データが暗号化され、復元できなくなった場合

ただし、上記事例2及び事例3の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しません。

事例3で同時に個人データが窃取された場合には、個人データの漏えいにも該当します。

②「委託先・再委託先」の報告主体の考え方

個人データの取り扱いを委託している、あるいは受託している企業は報告に関するフローを把握し、遂行する必要があります。

■報告義務の主体

漏えい等の報告の義務を負う主体は、当該個人データを取り扱う個人情報取扱事業者です。個人データの取り扱いを委託している場合には、原則として委託元と委託先の双方が報告義務を負います。ただし、委託先が委託元に漏えい等の事態が発生したことを通知した場合は、委託先は報告義務を免除されます。

■再委託先がある場合の情報漏えい時の報告主体

個人データの取り扱いの委託先が再委託をしていた場合も、最終「責任」はあくまで委託元ですが、報告義務はそれぞれ(委託元・委託先・再委託先)に課せられます。

免除義務を適用する場合、速やかに(事態を知った時点から概ね3〜5日以内)委託先(必要に応じて委託元)に報告すれば良いとされていますが、委託元が連名での報告や、それぞれ直接報告するように指示された場合はその限りではありません。

③「委託先(再委託先)」からの報告タイミングの定義

前述の通り、委託先(再委託先)は委託元に漏えい等の事態が発生したことを報告する義務があります。報告のタイミングは速やかにとありますが、これは速報と同じタイミングとの見解が示されており、原則「事態を知った時点から3〜5日以内」です。規定日数を超えてからの報告は、「法の潜脱行為であるともとられかねない」ため、迅速に処理する必要があります。また、速報はあくまで「第一次報告レベル」なので、完全な事態把握ができていなくても速やかに現状報告を行わなければなりません。こちらの速報に加え、別途、確報を行わなければならないことについても留意しておいてください。※速報=30 日以内(一部事態においては 60 日以内)

【参考】個人情報の保護に関する法律についてのガイドライン (通則編)

個人情報保護法改正に精通したおすすめのコンサルティングサービス

以上のように、個人情報保護法改正への対応は複雑なケースが存在し、正確な対応を要します。そのため、専門家を巻き込んで進めていくことをおすすめします。もし、社内外で頼れる専門家がいない場合は、個人情報に強い外部コンサルティングサービスを利用してみてはいかがでしょうか。

さまざまある外部コンサルティングサービスのなかでおすすめするのが、日本パープルのサービス<Coach MAMORU(コーチマモル)>。

専門コンサルタントが、企業に情報セキュリティに関する教育・コンサルティングを行うサービスです。上記のような、最も懸念される事項を中心に解説したり、自社のガイドラインをチェック・アドバイスするなど、柔軟にカスタマイズして提供することも可能です。日本パープルは情報セキュリティ分野のリーディングカンパニーとしても知られています。

Coarch MAMORU URLhttps://www.mamoru-kun.com/security_consulting/

あらゆる事例を想定した社内フローを確立しておこう

改正法により、これまで以上に情報開示や報告の義務が課せられ、企業はこれまではなかった新たな事例に遭遇するでしょう。事前にあらゆるパターンを想定して、スピード感を持って対策できるようにしておくことが人的な二次災害の防止につながります。対応する部署はどこか、責任は誰がどう取るのか、できる限り詳細まで規定化しておきましょう。

Pマーク取得企業も新たな「構築・運用指針」に対応した運用を

今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。

個人情報保護法改正(2022年4月施行)関連記事

第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」