改正個人情報保護法で求められる「漏えい等の報告」とは

作成日：2022/03/14
更新日：2023/04/04

改正個人情報保護法で求められる「漏えい等の報告」とは

「個人情報の保護に関する法律」（以下「個人情報保護法」）は、情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向などを受けて、2005年4月に全面施行されました。
その後、2015年に全面改正される際、将来的に国際情勢やビジネスが大きく変化していくことを予想し、個人情報保護法をより実効的な法律であり続けるため「3年ごとに見直す」ことになりました。
そのため、2020年に改正、公布された改正個人情報保護法が、2022年4月1日に全面施行されました。
なお、それに先立ち2020年12月12日には法定刑の引き上げ、2021年10月1日には第三者に提供しようとする際の経過措置がすでに施行されています。
今回の改正内容として、第22条の2に「漏えい等の報告等」という新たな規定が設けられました。
この規定には、個人情報保護委員会や漏出した個人情報の該当本人への通知がどのようなケースにおいて必要なのか、またはどのような報告が求められているのかが定められています。
本コラムでは、この規定によって報告義務が発生するケースと報告内容について解説します。

報告義務が発生する4つのケース

改正法では「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」を報告義務の対象としており、具体的に以下の4つのケースを挙げています。

要配慮個人情報が含まれる個人データの漏えい、または発生した恐れがある事態

この「要配慮個人情報」とは、病歴や犯罪歴や信条など、偏見や差別につながりかねないセンシティブな個人情報を指します。
この要配慮個人情報は、より厳重な管理が求められており、第三者へ提供する際はオプトアウト（本人が明確に拒否しない限り同意したと見なす）方式も禁止されているなど、他の一般的な個人情報とは扱いが大きく異なります。

不正利用によって財産的被害が生じるおそれのある個人データの漏えい等、または発生した恐れがある事態

このケースで対象となる情報は、クレジットカード情報や決済機能があるウェブサービスのログイン情報など、被害者本人の財産に被害が発生する恐れのある個人情報が該当します。

不正目的をもって行われたおそれがある個人データの漏えい、または発生した恐れがある事態

このケースはサイバー攻撃による不正アクセス、内部関係者による不正行為などによって発生した事件を指します。
このような事件は危険性が高く、報告義務が生じます。
特に近年では、暴露型ランサムウエアなどによる標的型サイバー攻撃により情報が窃取されたり、転職先への「手土産」として顧客リストが持ち出されたりするなどの被害が話題になることも多く、注意が必要です。

1000人以上の個人データの漏えい等、または発生した恐れがある事態

これまでの3つのケースについては一件の情報でも対象となっていました。
しかし1000件以上の個人情報に漏えい等が発生した場合は、情報の内容や性質などに関わらず報告義務が発生します。

報告義務が発生するケースの注意点

上記に挙げた4つのケースはいずれも「漏えい等」となっており、これには「滅失」や「毀損（きそん）」も含まれています。
例えば、ウイルスなどのマルウェア攻撃により個人情報が削除や破損され、バックアップからも元に戻せない事態に陥った場合は「滅失」や「毀損（きそん）」に当てはまり、報告の義務が発生します。
また「発生したおそれがある事態」ともされており、実際に発生していない場合であってもその可能性がある場合に報告義務が生じるとされています。
例えば、個人情報を管理しているサーバーに対して不正アクセスの痕跡が見つかった時点で、実際に漏えいした事実が確認できていなくても報告義務が発生します。

漏えい等の発生時に求められる報告

万が一、上記の４つケースに該当する事件や事故が発生してしまった場合、個人情報保護委員会と漏えいした個人情報の該当本人へ報告義務が発生します。
どのような報告が求められるかを簡単にまとめます。

個人情報保護委員会への報告

漏えい等が発生時は、個人情報保護員会へは以下の情報について報告を求められます。

1. 概要
2. 漏えい等が発生し、または発生した恐れがある個人データの項目
3. 漏えい等が発生し、または発生した恐れがある個人データに係る本人の数
4. 原因
5. 二次被害またはそのおそれの有無およびその内容
6. 本人への対応の実施状況
7. 効用の実施状況

報告期限については、「速報」「確報」の2段階が設けられています。
まず報告が必要となる事件事故を知った時点から速やかな報告を求められており、これを個人情報保護法では「速報」としています。ガイドラインでは3～5日以内とされており、上記９つの項目の内その時点で把握できている情報を報告する必要があります。
次に「確報」として事件事故を知った時点から30日（サイバー攻撃や不正行為などの不正目的をもって行われた場合は漏えい等については60日）以内に基本的に上記の全項目について報告が求められます。
合理的努力を尽くした上で判明できなかった事項については、判明次第に別途報告することとされています。

本人への報告

該当本人の権利利益を保護する目的として本人通知が義務化されており、以下の情報の報告が求められます。

1. 概要
2. 漏えい等が発生し、または発生したおそれがある個人データの項目
3. 原因
4. 二次被害またはその恐れの有無およびその内容
5. その他参考となる事項

報告タイミングは状況に応じて速やかに行うこととされており、発生した事案によっては早まった報告によって状況がさらに悪化するケースもあり得ます。
そのため、あくまでも「状況に応じた」判断が必要となります。

厳格化する個人情報保護法に備えたセキュリティー対策を

今回の改正では、企業のDX推進を見据えたデータ利活用促進の側面も一部にありますが、全体的には個人の権利の保護が強化され、事業者への規制が強化される方向に進んでいます。
本コラムで取り上げた改正ポイントの一つである漏えい等の報告・通知の義務化の他にも、措置命令違反に対する罰則の強化など、企業にとって漏えい等が起こった際のコストは非常に大きなものとなります。
個人情報を取り扱う全事業者は、今回の改正をきっかけに自社のセキュリティー対策を見直す必要があるでしょう。
なお、上記で取り上げた報告・通知の義務には例外もあり、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたもの」については、仮に個人情報が外部に流出したとしても不正に利用できないような措置がされているため、報告義務は発生しないとされています。
標的型サイバー攻撃による不正な侵入を防ぐことに限界を感じている場合は、暗号化のような侵入を前提とした対策を講じてみるのも効果的です。

改正個人情報保護法への対策に不安を感じている方は、ぜひ一度お問い合わせください。

執筆

お問い合わせ