特定個人情報保護委員会、
「特定個人情報の漏えいに関する規則案・告示案」
岩田合同法律事務所
弁護士 大 櫛 健 一
特定個人情報保護委員会[1]は、平成27年11月11日、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則(案)」(以下「報告規則案」という。)と「事業者における特定個人情報の漏えい事案等が発生した場合の対応についての一部を改正する件(告示案)」(以下「報告告示案」という。)に対する意見募集を開始した。
いわゆるマイナンバー法[2]28条の4は、マイナンバーを利用する行政機関及び地方公共団体等(以下「行政機関等」という。)並びに事業者に対し、個人情報保護委員会規則で定めるところにより、特定個人情報ファイルに記載された特定個人情報(以下「マイナンバー情報」という。)の漏えいその他の重大な事態(以下「重大事案」という。)が生じたときは個人情報保護委員会に報告することを義務付けている。
今般、意見募集がなされた報告規則案は、上記「個人情報保護委員会規則」の原案として公表されたものであり、法律上の報告義務が課される重大事案と報告事項を規定している。これに対し、報告告示案は、いわゆるマイナンバーガイドライン[3]を補完するものとして位置付けられており、報告規則案を踏まえた上で、重大事案には至らない情報漏えい等の事案やそのおそれがあるに留まる事案を含めた事業者の報告対応を広く定めた指針である。
報告規則案と報告告示案の関係は下図のとおりであり、ここから明らかなように、報告規則案及び報告告示案は、漏えい等の主体と事態の2つの観点から報告対応を類型化している。すなわち、まず、漏えい等の主体が行政機関等と事業者のいずれであるかを区別した上で、報告対象となり得る事態を、その重大さと経緯に着目して①マイナンバー法違反の事案又はそのおそれのある事案が発生した場合、②重大事案又はそのおそれのある事案が発覚した場合、及び、③重大事案が現に発生した場合の3段階に分類し、それぞれの類型ごとに報告対応を定めている。
特定個人情報保護委員会の意見募集における参考資料より
これらの類型のうち、事業者にとって最も注意すべき事態は、法定義務として報告を求められる重大事案が現に発生した場合(上記③)である。報告規則案では、事業者が法律上の報告義務を負う重大事案として、概要、マイナンバー情報に関し、(イ)情報漏えい等がなされた人数が100人を超える事態(2条2号)、(ロ)電磁的方法により不特定多数の者が閲覧できる状態となり、かつ、閲覧がなされた事態(同条3号)、及び、(ハ)不正の目的をもった者により利用又は提供された事態(同条4号)の3つが挙げられている。
また、これらの場合における事業者の報告事項としては、(a)概要及び原因、(b)マイナンバー情報の内容、(c)再発防止のためにとった措置、並びに、(d)その他個人情報保護委員会が定める事項が予定されている(報告規則案3条1項)。
マイナンバーを利用する事業者としては、マイナンバー情報の漏えい等を予防することが何よりも重要であることは論を俟たないが、万が一、漏えい等が発生してしまった場合において、どのように対応しなければならないかについてもあらかじめ注意を払っておく必要がある。例えば、「不正の目的」(報告規則案2条4号)の該当性判断は事業者にとって困難なケースも考えられるところであり、今般の意見募集を経て、報告規則案及び報告告示案が事業者による報告対応を最終的にどのように定めるかについては、引き続き、注視する必要があろう。
以 上
[1] 本年成立した個人情報保護法の改正に伴い、平成28年1月1日から「個人情報保護委員会」に改組されるため、以下では「個人情報保護委員会」として言及する。
[2] 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)。
[3] 特定個人情報の適正な取扱いに関するガイドライン(事業者編)(平成26年特定個人情報保護委員会告示第5号)。