個人情報保護法 2020年改正と実務対応のポイント(2)
漏えい等報告及び本人通知に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春~6月頃と見込まれている[1]。
本連載の1回目は、個人データに関する個人の権利の在り方に関する改正と実務対応のポイントを概説した。今回は、個人情報の漏えい等報告及び本人通知に関する改正と実務対応のポイントを概説する。なお、以下では、現行の個人情報保護法を「法」又は「現行法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 漏えい等報告及び本人通知の現状
現行法は、個人データの漏えい等が発生した場合の対応について特段の規定を設けておらず、「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号」(以下「告示」という)が、個人情報取扱事業者による実施が望まれる対応を定めている。
告示は、①保有する個人データ[2]の漏えい、滅失又は毀損、②保有する加工方法等情報[3]の漏えい、及び③これらのおそれ(以下「漏えい等事案」という)のいずれかが生じた場合には、事業者内部における報告及び被害の拡大防止・事実関係の調査及び原因の究明・影響範囲の特定・再発防止策の検討及び実施・影響を受ける可能性のある本人への連絡等・事実関係及び再発防止策等の公表について、必要な措置を講ずることが望ましいとする。
また、告示においては、漏えい等事案が発覚した場合、個人情報取扱事業者は、個人情報保護委員会等[4]に対し、その事実関係及び再発防止策等について速やかに報告するよう努めるとされている(委託先において漏えい等事案が発覚した場合でも、原則として委託元が報告する[5])。ただし、以下の①又は②に該当する場合は、報告を要しないとされている。
本人への連絡については、告示は、二次被害の防止、類似事案の発生防止等の観点から、事案の内容等に応じて、事実関係等を速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く(例えば、本人がアクセスできるホームページへの掲載や専用窓口の設置を行う[8])ことが望ましいとする。ただし、常に本人への連絡等が求められているわけではなく、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等を省略することも考えられるとされている[9]。
このように、現行法の下では、漏えい事案における個人情報保護委員会への報告と本人への連絡等は、各事業者の努力義務として位置づけられている。事業者側が報告や連絡等の要否の判断に迷う場合があることに加え、漏えい等の報告の義務化が国際的な潮流であること等に照らし、2020年改正法により、一定の漏えい事案について報告及び本人通知が義務化されることとなった。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください
