個人情報(個人データ)の漏えい等が
発生した時の対応方法とは?
流出する原因や事例と併せて解説!

この記事を書いた人
Avatar photo
法律事務所LEACT・LINE株式会社弁護士
総合系のコンサルティングファーム2社(コンサルタント職)、インハウスハブ東京法律事務所を経て2022年10月より現職。法律事務所LEACTでは、セキュリティ・プライバシー領域の案件を中心に活動中。 独立行政法人情報処理推進機構(IPA)試験委員、CISSP, CIPM, CIPP/E
この記事のまとめ

個人情報(個人データ)の漏えい等は準備ができている・できていないにかかわらず、ある日突然発生します。そして、漏えい等の発生時には、一定の時間的な制約の下で報告を行わなければなりません。

余裕がある平時のうちに、個人情報保護法における漏えい等の対応を検討してはいかがでしょうか?

この記事では、個人情報保護法の知識がない方にも基本から分かりやすく、漏えい等が発生した時の対応方法を解説します。

IT技術などが進展して便利になった反面、個人情報が漏えいしてしまうリスクも高まっているように感じます。

そうですね。漏えいを起こさないのが一番ではありますが、あらかじめ起きてしまった場合に備えておくことも非常に重要です。

※この記事は、2022年10月31日時点の法令等に基づいて作成されています。

※この記事では、法令名を次のように記載しています。
・個情法…個人情報の保護に関する法律
・政令…個人情報の保護に関する法律施行令
・規則…個人情報の保護に関する法律施行規則
・ガイドライン…個人情報の保護に関する法律についてのガイドライン(通則編)

個人情報(個人データ)の漏えい等とは

個人情報とは

個人情報とは、簡単にいうと、生存する個人に関する情報であって、

記述等により特定の個人を識別できるもの
または
他の情報と照合することにより特定の個人を識別できるもの
または
個人識別符号が含まれるもの

をいいます。

個情法上、「個人情報」は以下のとおり定義されています。

(定義)
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
⑴ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

「個人情報の保護に関する法律」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ

個情法2条1項1号は非常に読みにくいですが、中盤のかっこ書きを一旦読み飛ばすと全体を把握しやすくなります。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

個人情報の具体例としては、以下が挙げられます。

記述等により特定の個人を識別できるもの

①特定の個人を識別できるメールアドレス  taro.tanaka@example.co.jp  ⇒ 個人情報に該当する。

メールアドレスを見ると、「example社のタナカタロウ」だと分かるので、特定の個人を識別できる。なお、特定の個人を識別できないメールアドレス(例えばabcde.fgh@example.co.jp)も想定することはできる。

もっとも、実務上は個人情報に該当するメールアドレスと、個人情報に該当しないメールアドレスでそれぞれ管理を分けることは煩雑なので、両者を一括して個人情報として取り扱う場合が多い。

②顔が判別できる防犯カメラの映像 ⇒ 個人情報に該当する。

氏名は分からないとしても、顔が判別できるのであればそれが特定の個人であることは分かるため、特定の個人を識別することができる。

個人識別符号が含まれるもの

③マイナンバー ⇒ 個人情報に該当する。
「個人識別符号」に当たり、それ単体でも個人情報に該当する。

理解を深める上でのポイント1

理解を深める上でのポイントの1つ目は、「個人情報」は情報の特定の部分を指すのではなく、情報のまとまりを指す概念だということです。このことは、個人情報の定義が

当該情報に含まれる氏名、生年月日その他の記述等

ではなく

当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの

と、「当該情報に含まれる氏名、生年月日その他の記述等」を含んだ「当該情報」「もの」として定義されていることからも理解できます。

理解を深める上でのポイント2

理解を深める上でのポイントの2つ目は、「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」という部分についての理解です。

この要件は一般に「容易照合性」と呼ばれます。容易照合性が認められる場合、その情報は全体として個人情報ということになります。

企業では多くの場合、顧客に対してIDを割り振って管理しています。顧客IDが紐づく範囲では多くの場合容易照合性が認められ、個人情報に該当すると考えられます。

理解を深める上でのポイント3

理解を深める上でのポイントの3つ目は、本記事のテーマでもある漏えい等に該当するかどうかの判断基準です。

特定の情報が漏えい等した場合に、当該情報が個人情報(個人データ)であるかどうかは、

漏えい等した情報を取得した者

ではなく

漏えい等した個人情報取扱事業者

を基準に考えることになります。

つまり、実際に漏えい等した情報を単独でみた時に、その情報が個人情報(個人データ)に該当するかは関係がなく、自社として個人情報(個人データ)として取り扱っている情報が漏えいしたか否かによって、漏えい等の該当性判断がなされるということです。

個人データとは

個人データとは、個人情報データベース等を構成する個人情報をいいます。

企業では多くの場合、情報をデータベース化して管理しています。このデータベースを構成する個人情報を「個人データ」と定義して一定のルールを課しています。

個人データを構成しない個人情報は散在情報などと言われ、「個人データ」を対象とするルールは適用がされません。

なお、本記事では読みやすさ・読まれやすさを考慮して「個人情報」との表現を優先して使用しますが、法律上個人データを対象としている部分では「個人情報(個人データ)」と記載しています。

漏えい等とは

個情法は、「漏えい、滅失若しくは毀損」のことを総称して「漏えい等」と定義しています。それぞれの意味は以下のとおりです。

・漏えい:個人データが外部に流出すること
・滅失:個人データの内容が失われること
・毀損:個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること

本記事では「漏えい」にフォーカスを当てて説明を行いますが、法律上は「漏えい」だけでなく、「滅失」と「毀損」についても漏えいと同種の規制がなされていることに注意が必要です。

個人情報(個人データ)の漏えいが起こる原因

前提として、個人情報取扱事業者は、「安全管理措置(個人データを安全に管理するために必要な措置)」を講じる必要があります(個情法23条)。

個人情報(個人データ)の漏えいは、この「安全管理措置」を講じなかったことにより発生するケースが多いです。

そして、この原因を具体的に分析する上では、

・外部、内部どちらが原因の漏えいか
・故意、過失のどちらによる漏えいか

といった分析の切り口を設定することが有用です。

有名な個人情報(個人データ)漏えい事件(事例)

「外部」かつ「故意」の事例

「外部」かつ「故意」が原因の漏えいとして、例えば、2015年に日本年金機構で発生した情報漏えい事件が挙げられます。

これは、外部から標的型攻撃を受けたことにより発生した漏えい事件です。

総務省は標的型攻撃を「機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃です。業務関連のメールを装ったウイルス付きメール(標的型攻撃メール)を、組織の担当者に送付する手口が知られています。」と説明しています(総務省ウェブサイト「標的型攻撃への対策」)。

「内部」かつ「過失」の事例

「内部」かつ「過失」が原因の漏えいとして、例えば、2022年に兵庫県尼崎市で発生した情報漏えい事件が挙げられます。

参考記事において「データを記録したUSBメモリーをかばんへ入れて(中略)持ち出し(中略)飲食店に立ち寄り食事を済ませた後の帰宅時に当該USBメモリーを入れたかばんの紛失が判明」したものだと説明されています。

個人情報(個人データ)の漏えい等発生時の義務

報告義務が生じる要件

規則7条では、報告義務が生じる場合として以下の4つのケースが定められています。

①要配慮個人情報が含まれる個人データの漏えい等が発生した場合/発生したおそれがある場合(1号)
②不正に利用されることで財産的被害が生じるおそれがある個人データの漏えい等が発生した場合/発生したおそれがある場合(2号)
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生した場合/発生したおそれがある場合(3号)
④個人データに係る本人の数が1,000人を超える漏えい等が発生した場合/発生したおそれがある場合(4号)

上記のいずれかに該当する場合には報告義務が発生します。

「1,000人」(4号)

4号には、「1,000人を超える漏えい等が発生した場合/発生したおそれがある場合」とありますが、実務上は、正確に算定できるケースは稀で、多くの場合、ざっくりとした数でしか把握できません。

そのような場合には、漏えい等が発生した「おそれ」がある人数が1,000人を超えるか否かにより、報告義務が生じるかどうかを判断します。

「おそれ」(各号)

そもそも漏えい等が発生したかどうかが正確に判断できない、漏えい等が発生したおそれがあるにとどまるケースも発生します。

「おそれ」については、ガイドラインにおいて

「その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断する。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する。」

個人情報の保護に関する法律についてのガイドライン(通則編)

とされていますが、それ以上に具体的な内容は記載されていません。

判断が難しい場合には、ひとまず個人情報保護委員会に報告してしまい、その後の対応を個人情報保護委員会と連絡をとりながら検討するというのも一つの方法です。

個人情報保護委員会への報告

個情法では、個人情報保護委員会への報告は「速報→確報」の2段階で行うことが求められています。報告については個人情報保護委員会が「漏えい等の対応とお役立ち資料」をまとめてくれており、参考になります(なお、事業分野によっては権限の委任が行われており、報告先が個人情報保護委員会から別の省庁に変更されている場合があります)。

速報

速報は漏えい等が報告対象であることを知ったあと、「速やかに」行う必要があります。

この「速やかに」は、概ね3~5日以内とされています。日数は土日も含めて判断されるので、3営業日で対応ができるように事前に社内体制を整えておくと安心です。

なお、具体的な報告事項は規則8条に定義されています。速報の時点では、これらの事項のうち報告時点で把握しているもののみを報告すれば足ります。

(個人情報保護委員会への報告)
第8条 個人情報取扱事業者は、法第26条第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項

「個人情報の保護に関する法律施行規則」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ

確報

確報では、上述の報告事項全てを報告する必要があります。

速報の時点では事実関係が確定できないために、一定の幅をもった内容で報告することもあるかもしれません。しかし、確報では、把握できている内容を踏まえて正確な情報を報告することになります。

なお、確報の報告は、「当該事態を知った日から30日以内(当該事態が前条第 3 号に定めるものである場合にあっては、60日以内)」に、しなければなりません。

本人への通知

個情法では個人情報保護委員会への報告を行う場合には、漏えい等の対象となった本人に対しても通知を行わなければいけないと規定しています。

このように、個情法上本人への通知が求められているのは、個人情報保護委員会への報告が必要な場合に限定されています。

しかし、本人が漏えい等の発生を事後的に知った場合、自社との信頼関係は大きく損なわれてしまいます。そのため、本人への影響が大きいと判断される場合には、基準に満たない場合でも本人へ通知を行うことが適切です。

社外への公表

個情法では、社外への公表は「本人への通知が困難な場合」における本人への通知の代替手段として位置付けられています。他方で、ガイドラインの注意書きでは

代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましい。

個人情報の保護に関する法律についてのガイドライン(通則編)

との記載もされています。

公表については社内で意見が対立することも多いですが、事前に一定の基準を定めておき、その基準に達した場合に公表を行うことは、ユーザーからの信頼獲得の観点からも良い方法です。

個人情報の漏えい等発生時の対応方法

ガイドラインでは、漏えい等が発覚した場合の対応について、以下の5つの段階に分けて必要な対応を整理しています。

  • 事業者内部における報告および被害の拡大防止
  • 事実関係の調査および原因の究明
  • 影響範囲の特定
  • 再発防止策の検討および実施
  • 個人情報保護委員会への報告および本人への通知

実務上追加的に注意しておくべきポイント

これらに加え、漏えい等の内容によっては以下のような対応が実務上求められることがあります。

記者会見

記者会見が行われる場合、質疑応答に備えて事前にFAQを準備しておくことが有用です。不正確な内容、誤解を招く内容の質疑応答は二次的な被害を招きかねません。

そのため、平時から、各部門のコンタクトポイントになる人を明確にしておき、FAQの作成においても迅速に協力を要請できる体制をつくることが理想です。

取材への対応

漏えい等が発生すると、各種報道機関の記者から取材が来る場合があります。

取材は一定の時間的制約の下で行われることも多いため、回答期限が短く設定されがちです。報道機関の先には多くのユーザーが存在することを意識した対応が重要です。

官公庁への説明

普段の業務において官公庁とのやりとりがある場合、漏えい等に関して説明を求められる場合があります。これは個情法上の報告義務ではなく、官公庁との関係性を維持・継続する上で求められる実務上の対応です。

官公庁側から明示的な要求がなかったとしても、官公庁側は報告を待っている場合があります。メールなど普段のコミュニケーションで速報的な対応を行った上で、官公庁指定の形式で事後的に確報的な報告を求められることもあります。官公庁とより良い関係性を構築していく意味でも、丁寧な対応が求められます。

取引先への説明

会社の取引先からも問い合わせを受けることがあります。

個人情報保護委員会への報告に先駆けて一報を入れておくべきか、情報の共有はどの程度行っておくべきかなど、非常に悩ましい問題です。

なお、個人情報保護委員会へ既に報告を行っている場合には、その点を明確に取引先に伝えることが取引先にとっての安心材料につながることがあります。

個人情報保護委員会への報告義務が課されていない場合でも、任意に報告を行っている場合にはその点を取引先に伝えるのは良い方法です。

個人情報(個人データ)の漏えい等に備えた事前準備と対策

インシデント対応手順を定めておく

漏えい等の発生時には本当に時間がありません。

①社内の関係部署や、②それらの部署がどのように役割分担をして検討を進めるのかについて事前に手順を定めておくことは、漏えい等の対応の最中にいる関係者全員を助けることになります。

インシデント対応基準を定めておく

漏えい等の発生時には、意識的・無意識的に、漏えい等の存在を隠蔽したい・矮小化したい気持ちに駆られます。これらは人間の防御的な反応として、一定程度は仕方ないことと捉える方が健全でしょう。

そのため、そのような気持ちに駆られることを前提にしつつ、それでも適切な対応ができるように、自社としてどのような場合に、どのような対応を行うのかについて基準を定めておくことは有用です。

社内のリテラシーの向上を図る

手順や基準が存在しても、それらが使える状態になっていないと意味がありません。

手順や基準は普段から使っておかないと急速に陳腐化し、形骸化します。「大袈裟に捉えるほどのものではない」といったインシデントでも、毎回作成した手順や基準に載せて判断していくことが、社内のリテラシー向上につながります。

この記事のまとめ

個人情報(個人データ)の漏えい等が発生した時の対応方法の記事は以上です。最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!