個人データ漏えい時の報告義務とは?
具体例・罰則・報告方法・
対応のポイントなどを分かりやすく解説!
※この記事は、2024年9月5日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名等を次のように記載しています。
- 個人情報の保護に関する法律…個情法
- 個人情報の保護に関する法律施行令…個情法施行令
- 個人情報の保護に関する法律施行規則…個情法施行規則
目次
個人データ漏えい時の報告義務とは
個人データ漏えい時の報告義務とは、事業者が取り扱う個人データが漏えいした場合に、法律やガイドライン等に基づき、個人情報保護委員会や所轄官庁に報告する義務をいいます。
個人データ漏えい等の報告義務としては、例えば、以下のようなものがあります。
- 報告義務の内容
-
・個人情報取扱事業者が取り扱う個人データについて個人の権利利益を害するおそれが大きい漏えい、滅失、毀損等が生じた場合に、個人情報保護員会に報告する義務(個情法26条)
・金融機関が取り扱う個人顧客に関する個人データの漏えい等が発生したり、発生したおそれがある事態を知ったときに、監督当局に報告する義務(銀行法12条の2・銀行法施行規則13条の6の5の2等)
・通信事業者が通信の秘密の漏えいに該当する個人情報の漏えいを発生させた場合に監督官庁に報告する義務(電気通信事業法28条)
個情法26条の報告義務とは
個人データ漏えい時の報告義務の中で中心的なものは、個人情報保護法26条が定める報告義務です。
この義務は、個人情報取扱事業者が取り扱う個人データについて個人の権利利益を害するおそれが大きい漏えい、滅失、毀損等(以下「漏えい等」といいます)が生じた場合または生じたおそれがある場合に、個人情報保護員会に報告する義務です。
この義務は、2022年施行の個人情報保護法改正により努力義務から、罰則が科される可能性がある義務となりました。
個人情報保護員会とは
個人情報保護委員会は、個人情報の適正な取扱いの確保を図ることを目的として、2016年に設立された内閣府に属する委員会です。
個人情報保護委員会は、個人情報保護ガイドラインを策定するほか、各事業者による個人情報保護状況の監督などを行っているため、漏えい等の報告も、主に個人情報保護委員会に対して行います。
「個人データ」とは
個人データとは、個人情報データベース等を構成する個人情報をいいます(個情法16条3項)。
個人情報データベース等とは
個人情報を含む情報の集合体であって
➀ 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの(個情法16条1項1号)
または
② コンピュータを用いない場合であっても、紙面で処理した個人情報を一定の規則(たとえば、五十音順や生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているもの(個情法16条1項2号、個情報施行令4条2項)
2024(令和6)年改正による対象の拡大
個情法26条で報告義務の対象となるのは、原則として個人データの漏えい等です。
しかしながら、フィッシングサイトによるIDやパスワードの詐取など、個人データとなる前の個人情報を不正な手段で奪い取る犯罪が増加したことに伴い、2024年施行の個人情報保護法改正において、不正の目的をもって行われたおそれがある漏えい等については、個人データとなる前段階の情報である、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」の漏えい等についても報告が必要となり、報告義務の対象が拡大されました(個情法規則7条3号)。
「漏えい・毀損・滅失等」とは
個情法26条に定める「漏えい・毀損・滅失」は、具体的には以下のようなものをいいます。
- 漏えい・毀損・滅失とは
-
・漏えい:個人データが外部に流出すること
(例)誤交付・誤送付(メールの誤送信を含む)・盗難・不正アクセスなど・毀損:個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になること
(例)改ざん・ランサムウェア等による暗号化・滅失:個人データの内容が失われること (例)誤廃棄・社内での紛失
「個人の権利利益を害するおそれがあるとき」とは
個情法が定める「個人の権利利益を害するおそれがあるとき」とは、具体的には、以下の4つの場合をいいます。
- 「個人の権利利益を害するおそれがあるとき」とは
-
① 要配慮個人情報が含まれる場合
② 財産的被害が生じるおそれがある場合
③ 不正の目的をもって行われた漏えい等が発生した場合
④ 1000人を超える漏えい等が発生した場合
個情法26条による報告義務が生じる4つのパターンと具体例
1|要配慮個人情報が含まれる場合
要配慮個人情報とは、本人に対する不当な差別・偏見その他の不利益が生じないように、取扱いについて特に配慮を要する一定の個人情報として個情法2条3項、個情法施行令2条で定められている情報です。
要配慮個人情報が含まれる個人データが漏えい等したり、漏えい等したおそれがある場合には、個人情報保護委員会に報告義務があります(個情法規則7条1号)。
具体的には、以下のような場合が当たります。
- 保険会社で作成していた病歴が含まれた契約者リストが漏えいした
- 病院で作成していた患者の診療情報や投薬情報を記載したUSBメモリを紛失した
2|財産的被害が生じるおそれがある場合
不正に利用されることにより財産的被害が生じるおそれがある個人データが漏えい等したり、漏えい等したおそれがある場合には、個人情報保護委員会に報告する義務があります(個情法規則7条2号)。
財産的被害が生じるおそれがあるかについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する可能性が高いか否かを考慮して判断します。
具体的には、以下のような場合が当たります。
- ECサイトからクレジットカード番号を含む個人データが漏えいした場合
- 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
なお、クレジットカード番号のみが漏えいした場合も、暗証番号やセキュリティコードが割り出されるおそれがあるため、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当します。
他方、銀行口座番号だけが漏えいした場合やクレジットカード番号の下4桁のみとその有効期限の組合せが漏えいしただけの場合は、一般的には「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しません。
3|不正の目的をもって行われた漏えい等が発生した場合
不正の目的をもって行われたおそれがある行為により個人データの漏えい等が発生したり、発生したおそれがある場合にも個人情報保護委員会へ報告する必要があります(個情法規則7条3号)。
具体的には、以下のような場合が当たります。
- 不正アクセスにより個人データが漏えいした場合
- ランサムウェア等により個人データが暗号化され、復元できなくなった場合
- 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
上述したとおり、この場合、漏えい等の対象には個人情報取扱事業者が取得したり、取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものも含まれ、報告が必要です。
4|1000人を超える漏えい等が発生した場合
漏えいしたり、漏えいしたおそれがある個人データに含まれる個人情報の対象者が1000人を超えた場合、個人情報保護委員会に報告する義務があります(個情法規則7条4号)。
具体的には、以下のような場合が当たります。
- システムの設定ミスによりインターネット上で1000人以上の個人情報を含む個人データの閲覧が可能な状態となった場合
- 自社の会員(1000人超)へメールマガジンの配信を行う際、本来メールアドレスをBCC欄に入力して送信すべきところをCC欄に入力して一括送信してしまった場合
なお、事態が発覚した当初1000人以下であっても、その後1000人を超えた場合には、1000人を超えた時点で報告が必要になります。
報告が不要な場合
上記の4つに該当した場合にも、以下のようなときは、漏えい等によるリスクが低いため、個人情報保護委員会への報告は不要です。
- 漏えい等した個人データに電子政府推奨暗号リストや ISO/IEC4218033等に掲載されている暗号技術による暗号化などの個人の権利利益を保護するために必要な措置が講じられている場合(個情法規則7条1号)
- 漏えい等した個人データが仮名加工情報である場合(個情法41条9項)
必要な報告をしなかったときの罰則
個人情報取扱事業者が必要な報告を行わなかった場合、個人情報保護委員会は、個情法の規定に違反した事業者に対して違反を是正するための勧告や命令を行うことができます(個情法148条)。
そして、事業者が、個情法148条2項や3項に基づく個人情報保護委員会の命令に違反した場合、公表の対象となる(同条4項)ほか、1年以下の懲役または100万円以下の罰金が科される可能性があります(個情法178条)。
個人情報保護委員会への報告方法
報告を行うべき事業者
漏えい等報告の義務を負うのは、原則として、漏えい等が発生したり、発生したおそれがある個人データを取り扱う個人情報取扱事業者です。
個人データの取扱いを委託している場合は、委託元と委託先の双方が個人データや個人情報を取り扱っているため、原則として、委託元と委託先の双方が報告義務を負います。
報告時期と報告内容|2段階の報告が必要
情報漏えい等の報告について、報告義務がある項目は、以下のとおりです(個情法規則8条1項各号)。
- 報告内容
-
① 概要(発生日、発覚日、発生事案、発見者、どの事案に該当するのか、委託元及び委託先の有無、事実経過等)
② 個人データの項目
③ 漏えい等した個人データに含まれる個人情報の人数
④ 原因
⑤ 二次被害やその恐れの有無とその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置(実施済みの措置・今後実施予定の措置)
⑨ その他参考となる事項
速報(概ね3~5日以内)
事業者は、報告対象事案を知った場合、1段階目の報告として、概ね3~5日以内に、上記の各項目について、その時点で判明している範囲内で報告しなければなりません(個情法規則8条1項)。
確報(原則30日以内)
事業者は、2段階目の報告として、情報漏えい等を知ってから30日以内に、上記の各項目について、確報を報告する必要があります(個人情報施行規則8条2項)。
なお、不正の目的をもって行われた漏えい等が発生した場合、報告期限は情報漏えい等を知ってから60日以内です。
確報では、報告事項の全てを報告しなければなりません。
確報を行う時点において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完しなければなりません。
報告方法
報告は、原則として、個人情報保護委員会ウェブサイト内の報告フォームから直接個人情報保護委員会に対し行います。
但し、一部の事業分野では、個人情報保護委員会が報告の受領をその事業を所管している官庁に委任している場合があり、その場合、報告は、所管官庁に行います。
なお、個人情報保護委員会では、ウェブサイト内で、報告の書き方の例などの情報を掲載していますから、参考にするとよいでしょう。
報告義務を負わない場合
前述のとおり、個人情報取扱事業者や行政機関等から個人情報の取り扱いを委託された事業者で漏えい等が生じた場合には、委託先事業者も報告義務を負います。
しかし、委託先事業者が、速やかに、委託元に対して漏えい等について一定の通知をしたときには、委託先事業者は、個人情報保護委員会への報告対象義務が免除されます(個情法26条1項但し書き)。
本人への通知
個人情報取扱事業者が、個人情報保護委員会への報告義務がある事態を知った場合、漏えい等した個人情報の本人にも通知する必要があります(個情法26条2項)。
通知時期
本人への通知は、漏えい等の状況に応じて速やかに行わなければなりません(個情法規則10条)。
通知内容
通知内容は、以下のとおりです(個情法規則10条)。
- 本人への通知内容
-
・概要
・漏えい等した個人データの項目
・原因
・二次被害やその恐れの有無とその内容
・その他、参考になる事項
通知方法
通知は、電子メールで送信するなど、本人にとって分かりやすい形で行います。
ただし、本人への通知が困難な場合は、問い合わせ窓口の設置など、本人の権利利益を保護するために必要な代替措置を講ずることもできます(個情法26条2項)。
情報漏えい等が発生した場合の対応のポイント
情報漏えい等が発生した場合の対応のポイントは以下のとおりです。
会社内での報告と被害の拡大防止
会社内で情報漏えい等が発覚した場合、担当者は、責任ある立場の者に直ちに報告する必要があります。
漏えい等が発生した場合にどのような方法で誰に報告すべきかは、取扱規程等により、あらかじめ決めておくとよいでしょう。
また、報告とともに、漏えい等による被害が発覚時よりも拡大しないような措置をとることも重要です。
例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、端末のLANケーブルを抜いてネットワークから切り離したり、無線の無効化を行うなどの方法があります。
事実関係の調査と原因の究明
被害の拡大防止措置などの初動を行った後は、漏えいに関する事実関係の調査が必要です。
どこに保管されているどの個人データが、どのような方法でどの範囲で漏えい等したのか、発覚したもの以外に漏えい等している個人データがないかなど、事実関係を確認しましょう。
また、事実関係の調査と並行して、システム上の問題なのか、人的なミスなのかなど、なぜ漏えい等が生じたのかの原因究明も必要です。
影響範囲の特定
漏えい等に関する事実関係が判明した後は、漏えい等による影響範囲を特定する必要があります。
漏えい等した個人データに係る本人の数、漏えい等した個人データの内容、漏えいした原因、漏えい先等を踏まえ、どの範囲まで影響が広がる可能性があるかを特定します。
再発防止策の検討と実施
事実関係、原因、影響範囲などの調査を踏まえ、再発防止策を検討し、実施します。
漏えい等の原因がシステム上のものか、人的なものか、管理体制の不備が犯罪行為によるものかなど、原因によって再発防止策はそれぞれです。
原因にそった対策法を策定し、実施するとともに、継続的な研修などでくりかえし周知していくことが重要です。
個人情報保護委員会への報告と本人への通知
上記のような調査、対策には時間がかかることもあります。
そのため、個人情報保護委員会への報告は、2段階に分けられていますから、それぞれの段階で必要な報告を行いましょう。
また、漏えい等した個人情報の本人への対応も必要です。
漏えい等により本人に被害が生じることも十分に考えられますから、個情法で定められた通知だけでなく、対応窓口を設け、必要に応じ損害賠償等も検討するとよいでしょう。
おわりに
高度情報化社会においては、個人データは重要な資産であり、多くの企業がなんらかの形で個人データを取り扱っています。
多くの企業は、個情法やガイドラインに従い、個人情報を適切に取り扱っていますが、それでも、犯罪行為などにより漏えい等が生じるおそれがあります。
漏えい等が生じた場合には、個情法に従った報告や本人への通知などを行うとともに適切な対応をとる必要がありますので、この記事を参考に、漏えい時の対応を確認するとよいでしょう。
参考文献
個人情報保護委員会ウェブサイト「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月(令和5年12月一部改正))
個人情報保護委員会ウェブサイト「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成29年2月16日(令和6年3月1日更新))