個人情報保護委、特定個人情報の漏えい事案等が発生した場合の対応について更新
岩田合同法律事務所
弁護士 唐 澤 新
個人情報保護委員会[1]は、平成28年1月1日からマイナンバー制度の運用が本格的に開始されることに伴い、平成27年12月25日に「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(以下「本規則」という。)を制定し、併せて、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」と題する告示(以下「本告示」という。)を発出した。本稿では、本規則及び本告示に基づき、事業者は、有事の際にどのような対応をとる必要があるか解説する。
事業者は、本告示により、その取り扱う特定個人情報について、漏えい事案その他の番号法違反の事案[2]又は番号法違反のおそれのある事案が発覚した場合、以下の措置を講ずることが望ましいとされる(本告示1.)。
(1) 事業者内部において責任ある立場の者に対する報告、被害の拡大防止
(2) 事実関係の調査、原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討・実施
(5) 影響を受ける可能性のある本人へ事実関係等を連絡
(6) 事実関係、再発防止策等の速やかな公表
この点、上記(1)との関係では、「責任ある立場の者」の役職等は本告示上、限定されていないが、あらかじめ、取扱規程等により有事における適切かつ迅速な報告連絡体制を整備しておくことが必要となる(個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の対応におけるQ&A」(以下「Q&A」という。)1-1)。また、(5)及び(6)との関係では、本告示上、本人への連絡及び公表は「事案の内容等に応じて」行うべきものとされるところ、紛失したデータを第三者に見られることなく速やかに回収した場合や、高度な暗号化等の秘匿化が施されており紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合には、本人への連絡や公表を省略することも考えられる(Q&A1-5)。
また、事業者には、本告示により、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、個人情報保護委員会等へ報告することの努力義務が課されている(本告示2.報告の努力義務)。ただし、個人情報保護法上の個人情報取扱事業者以外の事業者については、①影響を受ける可能性のある本人全てに連絡した(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)、②外部に漏えいしていないと判断される、③事実関係の調査を完了し、再発防止策を決定している、④本規則第2条の重大事態[3]に該当しない、のすべての条件にあてはまる場合には、個人情報保護委員会への報告は不要である。なお、かかる本告示に基づく報告の報告先は、事業者の属性等によって異なるが、詳しくは以下の図を参照されたい。
(個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の報告要領について」より)
これらに加え、現に発生した事案又はそのおそれのある事案が重大事態に該当する場合には、事業者は、本告示により、事案が発覚した時点で、直ちにその旨を個人情報保護委員会に報告する努力義務を負う(本告示3.(2)第一報の努力義務)。また、重大事態が現に発生したときは(つまり、発生の「おそれ」では足りない)、事業者は、改正番号法第28 条の4及び本規則第3条により、①事態の概要及び原因、②個人情報の内容、③再発防止措置等を個人情報保護委員会に対して報告する法律上の義務を負う。したがって、重大事態が現に生じた場合には、直ちにその旨を個人情報保護委員会に報告し(なお、当該事案が個人情報保護法に基づく主務大臣のガイドライン等による報告対象にも該当する場合には、主務大臣にも報告をする必要がある)、その後、事実関係や再発防止策等について、本規則に基づき、個人情報保護委員会に報告することとなろうが、事案が発覚した時点で、第一報として本規則第3条に規定する報告事項の全てについて報告した場合には、再度の報告は不要である(Q&A3-1)。
2014年のベネッセの個人情報流出事件、2015年の日本年金機構の不正アクセス事件をはじめ、個人情報の流出事件は後を絶たない。リスク管理という点からは、情報漏えい等を未然に防ぐ体制を整備することが最も重要であることは言うまでもないが、ひとたび事故が発生した場合に、迅速に事態に対処できるよう事前に体制を整えておくことも等しく重要であるといえる。本規則及び本告示を参考に、もう一度自社の体制を確認することが望ましい。
以 上
[1] 2016年1月1日をもって、「特定個人情報保護委員会」より改組。
[2] 例えば、事業者の従業員が、不正な利益を図る目的で、個人番号を第三者に提供又は盗用した場合(番号法52条)、人を欺き、または、財物の窃取、施設への侵入、不正アクセス行為等により個人番号を取得した場合(同法54条)があげられる。
[3] i)情報システムにおいて管理される特定個人情報が漏えいし、滅失し、又は毀損した事態(本規則第2条1号)、ii) 情報漏えい等がなされた人数が100人を超える事態(同条2号)、iii) 特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧できる状態となり、かつ、閲覧がなされた事態(同条3号)及びiv)不正の目的をもった者により利用又は提供された事態(同条4号)。