◇SH1763◇個人情報保護委員会、特定個人情報の漏えい等が発生した場合の報告様式を一部変更 唐澤 新(2018/04/11)

未分類

個人情報保護委員会、特定個人情報の漏えい等が発生した場合の
報告様式を一部変更

岩田合同法律事務所

弁護士 唐 澤   新

 

 個人情報保護委員会(以下、「個人情報保護委」という。)は、平成30年4月2日、特定個人情報の漏えい事案等が発生した場合の報告様式を一部変更した。主な変更内容は、①報告事項のうち「事案の概要」について、記載事項が明記されたこと、②「漏えい等した特定個人情報の本人の人数」について、人数のカウントの時期が明記されたこと、③「本人への連絡等の状況」について、連絡完了日も記載するよう明記されたことである。

 変更点を解説する前に、特定個人情報の漏えい等が発生した場合の報告に関する従前からの規律を確認したい。まず、漏えい等が重大事態[1]に該当する場合、重大事態に該当する事案又はそのおそれのある事案が発覚した段階において、第一報として、速やかにその旨を個人情報保護委へ報告する努力義務が課され[2]、その後、確報として、(ⅰ)事案の概要及び原因、(ⅱ)漏えい等した個人情報の内容、並びに(ⅲ)再発防止措置等を個人情報保護委に報告する法的義務を負う(行政手続における特定の個人を識別するための番号の利用等に関する法律29条の4)[3][4]。これに対して、重大事態に該当しない漏えい等の場合には、事案を把握した段階で、確報として、事実関係、再発防止策等について個人情報保護委へ報告する努力義務を負う[5]。今般の変更は、これらのいずれのケースも想定した報告様式について変更が加えられたものである。

 変更点のうち「事案の概要」については、「発生日」、「発覚日」を明記するよう新たに項目が設けられるとともに、「概要については、時系列で記載するとともに、発生原因及び発覚の経緯も明記すること。」とのコメントが付された。実務上、漏えい等のおそれが発覚したにすぎない段階においては、漏えい等の有無、原因等の事実関係について十分に把握できていないことが多く、「事案の概要」としてどこまでの事実を記載すべきか判断が悩ましいことも少なくないと思われるが、報告様式の今回の変更を踏まえれば、漏えい等のおそれが発覚した経緯や初期的な対応[6]について記載することが考えられる。

 「漏えい等した特定個人情報の本人の人数」に関する変更点について、従前の報告様式においては、単に「発覚した時点で把握した概数を記載」と記載されていたのに対し、「重大事態に該当する場合は、発覚した時点で把握した概数を記載」として、重大事態の場合のみ発覚時の人数を報告することが明記された。上記のとおり、漏えい等が重大事態に該当するかどうかにより、報告のタイミング、回数が異なることを踏まえれば、重大事態に該当しない事案については報告時の人数のみを記載すればよいものと思われる。

 「本人への連絡等の状況」については、本人への連絡が完了した場合には、完了日も記載するよう明記された。もっとも、個人情報保護委の告示[7]において措置を講じることが望ましいとされる事項は「事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く」ことであり、必ずしも本人への直接の連絡が求められる訳ではなく、ホームページへの掲載や専用窓口の設置による対応も考えられる[8]

 上記のとおり、いずれの変更点も、従前の報告様式を大きく変更するものではないが、これまでの報告様式において必ずしも運用が明らかでなかった点が明確化されており、今後の漏えい等の対応にあたり大いに参考となる。

個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の対応について(概要資料)」より

以 上



[1] ①情報提供ネットワークシステム等又は個人番号利用事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態、②漏えい等した特定個人情報に係る本人の数が100人を超える事態、③特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ閲覧された事態、④従業員等が不正の目的をもって、特定個人情報を利用し、又は提供した事態(特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則第2条)。

[2]「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27年特定個人情報保護委員会告示第2号)3.

[3] 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則第3条

[4] ただし、事案発覚時の第一報において、確報時に必要な報告事項(事態の概要及び原因、再発防止策等)の全てについて報告していた場合には、再度の報告は不要である(特定個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の対応におけるQ&A」Q3-1)。

[5] 前掲注2の告示の2.

[6] 「個人データ」の漏えい等の報告に関するものではあるが、個人情報保護委が公開する報告書の記載例には、「事案の概要」には、発覚の経緯とともに「外部業者へフォレンジック調査を依頼する。」として、初期的な対応についても記載されている。
  https://www.ppc.go.jp/files/pdf/175030_houkokurei_unauthorized_access.pdf

[7] 前掲注[2]の告示の1.(5)

[8] 特定個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の対応におけるQ&A」Q1-4

 

タイトルとURLをコピーしました