個人情報保護法 2020年改正と実務対応のポイント(2)
漏えい等報告及び本人通知に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春~6月頃と見込まれている[1]。
本連載の1回目は、個人データに関する個人の権利の在り方に関する改正と実務対応のポイントを概説した。今回は、個人情報の漏えい等報告及び本人通知に関する改正と実務対応のポイントを概説する。なお、以下では、現行の個人情報保護法を「法」又は「現行法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 漏えい等報告及び本人通知の現状
現行法は、個人データの漏えい等が発生した場合の対応について特段の規定を設けておらず、「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号」(以下「告示」という)が、個人情報取扱事業者による実施が望まれる対応を定めている。
告示は、①保有する個人データ[2]の漏えい、滅失又は毀損、②保有する加工方法等情報[3]の漏えい、及び③これらのおそれ(以下「漏えい等事案」という)のいずれかが生じた場合には、事業者内部における報告及び被害の拡大防止・事実関係の調査及び原因の究明・影響範囲の特定・再発防止策の検討及び実施・影響を受ける可能性のある本人への連絡等・事実関係及び再発防止策等の公表について、必要な措置を講ずることが望ましいとする。
また、告示においては、漏えい等事案が発覚した場合、個人情報取扱事業者は、個人情報保護委員会等[4]に対し、その事実関係及び再発防止策等について速やかに報告するよう努めるとされている(委託先において漏えい等事案が発覚した場合でも、原則として委託元が報告する[5])。ただし、以下の①又は②に該当する場合は、報告を要しないとされている。
本人への連絡については、告示は、二次被害の防止、類似事案の発生防止等の観点から、事案の内容等に応じて、事実関係等を速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く(例えば、本人がアクセスできるホームページへの掲載や専用窓口の設置を行う[8])ことが望ましいとする。ただし、常に本人への連絡等が求められているわけではなく、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等を省略することも考えられるとされている[9]。
このように、現行法の下では、漏えい事案における個人情報保護委員会への報告と本人への連絡等は、各事業者の努力義務として位置づけられている。事業者側が報告や連絡等の要否の判断に迷う場合があることに加え、漏えい等の報告の義務化が国際的な潮流であること等に照らし、2020年改正法により、一定の漏えい事案について報告及び本人通知が義務化されることとなった。
2 漏えい等報告及び本人通知の義務化
(1) 報告義務
改正法の下では、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない(改正法22条の2第1項本文)。この義務違反は、勧告、命令及び違反事実の公表等の対象となる(改正法42条1項・3項・4項)。
「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」が具体的に何であるかについては、施行規則の改正を待つ必要があるが[10]、2019年12月13日「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という)及び国会審議の内容等に照らすと、以下のようなものが含まれることになると思われる。
- • 一定数以上の大規模な個人データの漏えい
- • 要配慮個人情報の漏えい
- • 不正アクセスによる個人データの漏えい
- • 財産的損害に至るおそれのある個人データの漏えい
報告の提出先は個人情報保護委員会に一元化される。また、報告の期限については、制度改正大綱が「明確な時間的な制限は設けないものの、報告内容を一定程度限定した上で「速やか」に報告することを義務付けることとする」としているため、施行規則の改正により、この点が規定される可能性がある。また、制度改正大綱は「原因や再発防止策等の報告を求める必要があることから、運用上、上記の速報とは別に、一定の期限までに確報として報告を求めることとする」としており、二段階の報告が求められることになると考えられる。
(2) 通知義務
個人情報保護委員会への報告が義務付けられる場合には、個人情報取扱事業者は、原則として、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない(改正法22条の2第2項本文)。ただし、本人への通知が困難な場合には、本人の権利利益を保護するため必要な代替措置を講じることで、本人への通知を省略できる(同条項ただし書)。この義務違反も、勧告、命令及び違反事実の公表等の対象となる(改正法42条1項・3項・4項)。
現行法の下では、本人に連絡をするか、それともホームページへの掲載といった本人が容易に知り得る状態に置くかについて、特に優先関係がない。これに対して、改正法の下では、本人への通知が原則であり、通知が困難な場合に初めて代替措置を講じることが許容されることに留意が必要である。
3 委託に関する例外
他の個人情報取扱事業者(委託元)から個人データの取扱いの全部又は一部の委託を受けた個人情報取扱事業者(委託先)も、個人情報保護委員会への報告が義務付けられる事態が生じた場合は、原則として、個人情報保護委員会への報告及び本人への通知の義務(以下「報告・通知義務」という)を負う。
もっとも、当該個人情報取扱事業者(委託先)が、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者(委託元)に通知した場合には、報告・通知義務を負わない(改正法22条の2第1項ただし書、同条第2項本文括弧書)。この場合は委託元が報告及び通知を行うことになるものと考えられる。
現行法の下では、委託先において漏えい等事案が生じた場合に、委託先が単独で個人情報保護委員会等に報告を行うことは想定されておらず、また、委託先が委託元に通知するべきかについては特段の規定がない。実務上の対応として、委託元と委託先の間のデータ処理委託契約等において、委託先の委託元に対する通知義務や協力義務を課すことにより、委託元が迅速かつ適切な報告や連絡等を行えるよう担保しておくことが通例である。これに対して、改正法の下では、委託先が自ら報告・通知義務を負うことを前提として、委託元に対する通知を行えば報告・通知義務が免除されるという建付に変わることに留意が必要である。
4 利用停止等の請求・第三者提供停止の請求への対応
本連載の第1回で述べたとおり、今般の改正により、保有個人データの利用の停止又は消去の請求、及び保有個人データの第三者提供の停止の請求について、請求要件が緩和され、改正法22条の2第1項本文に規定する事態(すなわち、報告義務を負うこととなる漏えい等)が生じた場合には、当該個人データについてこれらの請求がなされる可能性がある(改正法30条5項)。したがって、企業としては、一定の漏えい等の事案が発生した場合には、報告・通知や再発防止措置の策定といった対応に並行して、これらの請求への対応も必要となることに留意が必要である。
5 実務対応のポイント
以上の改正点をふまえると、企業においては以下のような対応をとることが考えられる。これらは、施行規則の改正やガイドラインの改正動向に留意しつつ、準備を進めていく必要がある。
- • 個人データの漏えい等の事案が発生した場合に関する社内マニュアルや体制を見直す
- • 個人データの漏えい等の事案が発生した場合にリスク管理部門と個人データ対応部門が連携できるよう、連絡体制の整備や勉強会を行う
- • 個人データの取扱いの委託や受託を伴う既存契約やひな型について、漏えい等の事案の発生時に関する規定が改正法の規律に整合しているか確認し、不十分なものがあれば、修正を検討する(委託先の、委託元に対する速やかな通知義務、情報提供義務や協力義務等)
- • 個人データの漏えい等が生じた場合に速やかに連携できる専門家を事前に選定する
[1] ただし、罰則に関する定めは公布の日から起算して6月を経過した日に施行される(2020年改正法附則1条2項)。
[2] 特定個人情報に係るものを除く。
[3] 個人情報の保護に関する法律施行規則(以下「施行規則」という)20条1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。
[4] 報告先については、認定個人情報保護団体の対象事業者である個人情報取扱事業者の場合は当該認定個人情報保護団体であるなど、一部例外がある。
[5] 委託元が漏えい等事案に係る個人データ等について最終的な責任を有することに変わりがないためである。ただし、委託元と委託先の連名の報告は許容される。「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A (以下「ガイドライン等Q&A」という)12-9。
[6] 例えば、漏えい等事案に係る個人データ等について高度な暗号化等の秘匿化がされている場合や、漏えい等事案に係る個人データ等を第三者に閲覧されないうちに全て回収した場合、漏えい等をした事業者以外では特定の個人を識別できず、本人に被害が生じるおそれがない場合等が挙げられている。
[7] 例えば、宛名及び送信者名以外に個人データ等が含まれていない場合が挙げられている。
[8] ガイドライン等Q&A 12-4。
[9] ガイドライン等Q&A 12-5。
[10] 個人情報保護委員会2020年6月15日付資料1「個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について」5頁のロードマップ案によれば、委員会規則の改正は、2021年1月~2月頃に意見募集がなされ、3月~5月頃に公布されることが想定されているようである。