個人情報保護委、個人データの漏えい等の
事案が発生した場合等の対応について意見募集
岩田合同法律事務所
弁護士 徳 丸 大 輔
個人情報保護委員会(以下「委員会」という。)は、平成28年12月8日、「個人データの漏えい等の事案が発生した場合等の対応について(案)」と題する告示(案)(以下「本告示(案)」という。)について意見募集を開始した[1]。
本告示(案)は、平成28年11月30日に公表された個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号[2]。以下「通則ガイドライン」という。)の「4 漏えい等の事案が発生した場合等の対応」の項で「漏えい等の事案が発生した場合等において(中略)個人情報取扱事業者が実施することが望まれる対応については、別に定める。」とされていることを踏まえたものであり、その概略は以下のとおりである。
対象事案 |
|
対応 |
|
本告示(案)2項の対応のうち、実務上の対応に影響し得る事項をみると、まず、⑴のうち「被害の拡大防止」のより具体的な内容については、通則ガイドラインや本告示(案)上、これ以上に参考となる具体的記載は見当たらない。この点、「被害の拡大防止」には、例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと[3]や、漏えい先が特定できる場合に当該漏えい先に対して情報の削除や廃棄を依頼することなど、様々なものが考えられるところであり、個々の事案を踏まえて適切な対応を選択すべきものと思われる。
また、⑹事実関係及び再発防止策等の公表について、「漏えい等事案の内容に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する」との説明が付されている。この点、通則ガイドラインのパブリックコメントに対する回答においては、「漏えい等の事案が発生した場合に、事実関係及び再発防止策等を早急に公表することが適切か否かは、ご指摘のとおり、個別具体的な事案に応じて判断すべきであると考えております(以下省略)」との考え方が示されており[4]、この考え方を前提とする限り「公表」はマストではないと解されるが、公表を行うか否かの具体的判断基準は明らかではないため、どのような場合に公表が必要となるか、Q&A等を通じて明確化されることが期待される[5]。
本告示(案)2項の対応については、「望ましい」、「努める」とされており、対象事案が発生した場合に必ず行わなければならないものではないと解される。しかしながら、本告示(案)が制定された後は、個人データの情報漏えいが発生した場合の対応に関する一つのスタンダードとなることが想定され、外部からの批判に耐えられる程度の合理的な理由がなければ、本告示(案)に沿って対応をすべきことになると予想されるため、紹介する次第である。
[1] 意見等の受付締切日は平成29年1月6日までとされている。
[2] 個人情報保護委員会のホームページ(http://www.ppc.go.jp/files/pdf/guidelines01.pdf)参照。
[3] 平成27年12月25日付け特定個人情報保護委員会の「特定個人情報の漏えい事案等が発生した場合の対応におけるQ&A」(http://www.ppc.go.jp/files/pdf/271225_rouei_qa.pdf)のA1-2参照
[4] 平成28年11月30日付け個人情報保護委員会事務局の「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)』に関する意見募集の結果について」の「【別紙2-1】意見募集結果(通則編)」(結果公示のホームページ(http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000025&Mode=3)からダウンロードできる。)のNo. 585参照。
[5] 例えば、「紛失したデータを第三者に見られることなく速やかに回収した場合や高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利履歴が侵害されていないと認められる場合等」(平成27年12月25日付け特定個人情報保護委員会の「特定個人情報の漏えい事案等が発生した場合の対応におけるQ&A」A1-5、経済産業省の平成26年12月付け「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」2-2-3-2【各項目を実践するために講じることが望まれる手法の例示】⑤(カ)参照)が公表するか否かの判断をする上で参考にできると思われる。