◇SH0653◇特定個人情報の漏えいに対する対応――鳥貴族、加盟企業における個人情報盗難被害 荒田龍輔(2016/05/10)

未分類

特定個人情報の漏えいに対する対応
――鳥貴族、加盟企業における個人情報盗難被害

岩田合同法律事務所

弁護士 荒 田 龍 輔

 

 株式会社鳥貴族のカムレードチェーン[1]加盟企業である株式会社ダンクにおいて、車上荒らしにより同社従業員430名の扶養控除申告書が盗難被害に遭ったことを公表した(当該書類は平成28年4月26日時点で発見されていないとのことである。)。

 扶養控除申告書には、個人番号(マイナンバー)(行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)第2条第5項)[2]が記載されており、その盗難は「特定個人情報」[3](同法第2条第8項)の漏えいに該当する。このような場合、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」[4](以下「本告示」という。)、又は「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(以下「本規則」という。)[5]に従い、事業者は個人情報保護委員会への報告等を行う必要がある。今回は、事業者において特定個人情報の漏えい事案が発生した場合の対応の概要を説明したい。

 

1.事業者内部における措置

 本告示「1.特定個人情報の漏えい事案等が発覚した場合に講ずべき措置」では、事業者において、その取り扱う特定個人情報(委託者が取り扱うものを含む。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合、以下のような措置を講ずることが「望ましい」とされている。

  1. ・ 事業者内部における報告、被害の拡大防止
  2. ・ 事実関係の調査、原因の究明
  3. ・ 影響範囲の特定
  4. ・ 再発防止策の検討、実施
  5. ・ 影響を受ける可能性のある本人への連絡等
  6. ・ 事実関係、再発防止策等の公表

 

2.個人情報保護委員会への報告

 事業者は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、「事業者における特定個人情報の漏えい事案等が発生した場合の報告概念図(重大事態の報告を除く)」(別紙参照)のとおり、事業所管の主務大臣等又は個人情報保護委員会に報告するよう「努めなければならない」(努力義務)とされている(個人情報取扱事業者への該当性等によりその報告先は異なる。)(本告示「2・本告示に基づく報告」)。

 他方で、番号法違反の事案又は番号法違反のおそれのある事案のうち、特定個人情報ファイル[6]に記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る以下の重大事態が生じたときは、個人情報保護委員会に対して、その概要及び原因、特定個人情報の内容、再発防止措置等を報告「しなければならない」(報告義務)とされている(番号法29条の4[7]、本告示第3号(1)、並びに本規則第2条及び第3条)。

  1. (重大事態)
  2. ・ 情報提供ネットワークシステム等又は個人番号利用事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態
  3. ・ 漏えい等した特定個人情報に係る本人の数が100人を超える事態
  4. ・ 特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ閲覧された事態
  5. ・ 従業員等が不正の目的をもって、特定個人情報を利用し又は提供した事態

 上記報告を懈怠した場合、個人情報保護委員会は、事業者に対して、番号法に関し、指導・助言(同法第33条)、勧告・命令(同法第34条)、報告徴求・立入検査(同法第35条)等の権限を有していることから、同委員会より、当該懈怠に対して報告命令等がなされる可能性がある。そして、番号法では、同委員会の命令等に違反した者には二年以下の懲役又は50万円以下の罰金(同法53条)、虚偽の報告等をした者には2年以下の懲役又は50万円以下の罰金について規定されており(同法54条)、その実効性が確保されている。

 

3.まとめ

 上記のとおり、番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合、事業者には、その内部における一定の措置の実施、当該事案についての個人情報保護委員会への報告をする努力義務が課され、また、漏えいが「重大事態」に該当する場合には、単なる努力義務ではなく、同委員会への報告が義務付けられている。本件については、マイナンバーが漏えいした従業員数が430名とされるため、前記の「重大事態」のうち、「漏えい等した特定個人情報に係る本人の数が100人を超える事態」に該当し、個人情報保護委員会への報告が義務付けられる場合に該当するものと考えられる。

 これまで見てきたとおり、マイナンバー漏えい事故に係る個人情報保護委員会の規制は相応に複雑なルールになっているほか、場合により、番号法以外の法律に基づく報告義務が存在する可能性も否定できず[8]、加えて、個人情報(特定個人情報)の漏えいに対しては、世間から厳しい目が向けられるのは周知のとおりである。

 よって、企業において、特定個人情報の漏えいの発生又はそのおそれを把握した場合は、法的及びレピュテーション上の観点から迅速かつ的確な対応が求められ、必要に応じて弁護士等の外部専門家に相談する等して、的確に対応する必要があると思われる。

以上

 

[1] 同社は直営店の他に加盟店よりノウハウの提供の対価としてロイヤリティ等の収入を得ているところ、同社によると、当該加盟店については、新規加盟店オーナーを募集していない点、同社経営理念に共感した加盟店オーナーに限定している点等を理由に一般的なフランチャイズチェーンと異なるとして、カムレードチェーンとの名称を使用しているとのことである(http://www.torikizoku.co.jp/company/ir/individual.html)。

[2] 番号法7条第1項又は第2項により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定される番号。

[3] 個人番号をその内容に含む個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(個人情報保護法第2条第1項))(生存する個人の個人番号は特定個人情報に該当するとされている(番号法第1条参照)。)。

[4] 平成27年特定個人情報保護委員会告示第2号

[5] 平成27年特定個人情報保護委員会規則第5号

[6] 一定の事務の目的を達成するために特定の保有個人情報を容易に検索することができるように体系的に構成した保有個人情報を含む情報の集合物(個人情報のデータベース)(番号法第2条第4項)。

[7] 事業者は個人番号利用事務等実施者に該当すると思われる(番号法第12条、第9条第3項、並びに第2条第11項及び第13項参照)。

[8] 例えば、銀行においては、「不祥事件」に該当し別途監督官庁への報告を求められる可能性がある(銀行法第53条参照)。

 

タイトルとURLをコピーしました