個人情報保護委、「個人情報の保護に関する法律についてのガイドライン」
及び「個人データの漏えい等の事案が発生した場合等の対応について」
に関するQ&Aの更新
岩田合同法律事務所
弁護士 蛯 原 俊 輔
1 はじめに
本年6月、個人情報保護委員会(以下「委員会」という。)が定める「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(以下「Q&A」という。)に更新がなされた。
更新の大部分は、文言等についての形式的な更新であるが、後記のとおり、個人データの漏えい等が発生した場合等の委員会への報告方法の変更を踏まえた点の変更もなされている。
そこで、今回は、個人データの漏えい等事案が発生した場合に個人情報取扱事業者(以下「事業者」という。)が採るべき対応について委員会が定めている「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年同委員会告示第1号。以下「本告示」という。)を概説した上で、委員会への報告方法の変更について見解説する。
2 本告示の対象となる事案
本告示が対象とする個人データの漏えい等の事案が発生した場合等(以下「漏えい等事案」という。)とは、以下の3つの場合を指す[1]。
項目 | 対象となる情報 | 具体例 | |
1 | 個人データ※の漏えい、滅失又は毀損 | <個人データ> 個人情報データベース等を構成する個人情報[2] | 顧客データベースに保管された顧客情報(氏名)の漏えい |
2 | 加工方法等情報※の漏えい | <加工方法等情報> 匿名加工情報[3]の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報で、その情報を用いて、当該個人情報を復元することができるもの[4] | ある商品の購入者について、氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられるパラメータの漏えい |
3 | 1、2のおそれ | ― | ― |
※ 特定個人情報に係るものを除く。
3 個人データの漏えい等が発生した場合等に講ずべき措置について
本告示は、事業者は、漏えい等事案が発覚した場合には、下記の各事項について必要な措置を講ずることが望ましいとしている。
項目 | |
1 | 事業者内部における報告及び被害の拡大防止 |
2 | 事実関係の調査及び原因の究明 |
3 | 影響範囲の特定 |
4 | 再発防止策の検討及び実施 |
5 | 影響を受ける可能性のある本人への連絡等 |
6 | 事実関係及び再発防止策等の公表 |
4 委員会等への報告
漏えい等事案が発生した場合には、事業者は、本告示上、①実質的に個人データ又は加工方法等情報(以下「個人データ等」という。)が外部に漏えいしていないと判断される場合(例―漏えい等事案に係る個人データ等が、高度な暗号化等の秘匿化がなされていた場合)及び②FAX若しくはメールの誤送信、又は荷物の誤配等のうち、軽微なものの場合(例―メールの宛名以外に個人データが含まれていない。)のいずれにも該当しないときは、委員会へ速やかに報告するよう努めなければならないとされている[5]。
報告の方法については、従前はFAX又は郵送による提出が求められていたが、平成31年3月27日正午から委員会のホームページの報告フォーム(https://roueihoukoku.ppc.go.jp/)から報告することとなった。今般のQ&A12-6の更新は、当該報告方法の変更に伴うものであり、事業者に当該報告フォームによる報告を求めるものである。
委員会への報告事項に変更はないが、同フォームに、当該事案の発生日や発生原因、漏えい等に係る情報の内容等を記載することで、簡易かつ迅速に漏えい等の事案の発生に関する報告ができるようになった。
なお、今回の報告方法の変更は、事業者のうち、委員会へ直接報告すべき事業者について適用されるものであり、①認定個人情報保護団体[6]の対象事業者や、②委員会の権限が事業所管大臣に委任されている分野[7]における事業者については、従前どおりの方法によって報告することとなる。
[1]特定個人情報(個人情報のうち、マイナンバーをその内容に含むもの。)については、本告示とは別に、行政手続における特定の個人を識別するための番号利用等に関する法律(以下「マイナンバー法」という。)によって、漏えい等があった場合の取扱いが定められている。本稿では本告示が対象とする特定個人情報を含まない個人データの漏えい等の場合について解説することとする。
[2] 個人情報の保護に関する法律(以下「法」という。)2条6項。また、個人情報データベースとは、大要、①コンピュータ上において特定の個人情報を容易に検索できるよう体系的に構成したもの(例―顧客データベース。)や、②コンピュータを用いていなくとも①に匹敵するほど特定の個人情報を容易に検索できるよう体系的に構成したもの(例―顧客台帳。)である(法2条4項、法施行令3条)。
[3] 個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたもの(法2条9項)。
[4] 個人情報の保護に関する法律施行規則20条1号。
[5] このように特定個人情報を含まない個人データの漏えい等事案が発生した場合については、報告は努力義務となっているが、特定個人情報の漏えいがあった場合には、報告は必ずしなければならない(マイナンバー法29条の4)。