個人情報保護委、「個人情報データベース等不正提供等罪の
適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する
留意点について」注意喚起
――内部的不正行為による悪質事例を踏まえ、情報システムの「アクセス制御」
「ログの定期的な分析」の重要性も指摘――
個人情報保護委員会は11月16日、「個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点」に関し、個人情報取扱事業者全般を対象として注意喚起を行った。
今般の注意喚起は近時の事案2件を事例として挙げ「内部的な不正行為に起因する悪質な事例が増加している傾向があるものと思料され」るとする指摘のもと、なされた。注意喚起としては9月13日に行われたサーマルカメラ関係(SH4629 個人情報保護委、サーマルカメラの使用および製造・販売における事業者の対応について注意喚起――法に基づく留意点を取りまとめ、顔画像等「取得」「利用目的」の設置場所への掲示など求める(2023/09/20)既報)に続くものとなっており、個人情報保護に関する取扱いを巡っては2023年中5件目となる。
個人情報保護委が取り上げたのは、(ア)「個人情報取扱事業者の元従業者が、元勤務先が管理する名刺情報管理システムのログイン認証情報を不正に転職先の従業者に提供し、同システムを第三者が利用可能な状態に置いた事例」と(イ)「大手学習塾の元塾講師が当該学習塾の児童の個人情報をSNSのグループチャットに投稿したとされる事例」の2事案である。(ア)事件は警視庁が9月15日、個人情報保護法(平成15年法律第57号)における個人情報データベース等の不正提供(同法179条)などの容疑により元従業員を逮捕したと報じられたもの。今般の注意喚起によると「この個人情報データベース等不正提供等罪等により元従業者が逮捕・起訴され、有罪が確定」した。
(イ)事件では当初、警視庁が8月中に東京都迷惑防止条例違反などの容疑で逮捕。警視庁の10月2日発表により、元塾講師について9月30日、性的姿態撮影等処罰法(令和5年法律第67号)違反の容疑で3回目の逮捕がなされたことが判明した。同容疑により同僚だった元講師も新たに逮捕。個人情報のSNSへの投稿を巡っては本発表と同日となる10月2日、元塾講師および法人としての学習塾を個人情報保護法違反の容疑で東京地検に書類送検したなどとされる(その後、起訴および追送検に関する一部報道がある)。
個人情報保護委がこのような事例を踏まえて行うこととした注意喚起は「1 安全管理措置(法第23条)等に関する留意点」「2 漏えい等の報告(法第26条第1項)に関する留意点」の2項目を柱とする。
上記1(安全管理措置等の留意点)では、従業者等の故意の提供等の行為で漏えいする個人データには大量かつ有用性が高い情報、機微な情報が含まれることがあるところ、まず(1)「従業者の教育、個人情報データベース等を取り扱う情報システムのアクセス制御・ログの定期的な分析等」について、「必要かつ適切な安全管理措置を講じることは、法第179条に規定する行為を含む内部的な不正行為による個人データの漏えいを防止する観点からも重要」であると指摘。また、個人データの漏えいや漏えいのおそれが発覚した場合について(2)個人情報保護法ガイドライン(通則編)「3-5-2 漏えい等事案が発覚した場合に講ずべき措置」も参照のうえ「被害を最小限に留めるため、速やかに状況に応じた被害拡大防止のための措置を取ることも重要」であるとし、次の13点の安全管理措置につき必要かつ適切な措置を講じるよう要請している。
組織的安全管理措置(①組織体制の整備、②個人データの取扱いに係る規律に従った運用、③個人データの取扱状況を確認する手段の整備、④漏えい等事案に対応する体制の整備、⑤個人データの取扱状況の把握および安全管理措置の見直し)、人的安全管理措置(⑥従業者の教育)、物理的安全管理措置(⑦個人データを取り扱う区域の管理、⑧機器および電子媒体等の盗難等の防止、⑨個人データの削除および機器、電子媒体等の廃棄)、技術的安全管理措置(⑩アクセス制御、⑪アクセス者の識別と認証、⑫外部からの不正アクセス等の防止、⑬情報システムの使用に伴う漏えい等の防止)。
上記2(漏えい等の報告の留意点)においては、個人情報取扱事業者が個人情報保護法施行規則(平成28年個人情報保護委員会規則第3号)7条に規定する報告対象事態を知ったときには個人情報保護法26条1項に基づき報告義務があることを改めて周知した。
報告対象事態とは(i)「要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態」、(ii)「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」、(iii)「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」、(iv)「個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態」(以上、個人情報保護法施行規則7条各号)であり、注意喚起では「個人情報保護法179条に規定する行為により個人データの漏えいが発生した場合は通常(iii)に該当すると考えられる」旨を明記。
個人情報保護委では、各事業者において個人情報保護法ガイドライン(通則編)「3-5 個人データの漏えい等の報告等(法第26条関係)」を参照のうえ(i)どのような場合が報告対象事態に該当するか、(ii)報告対象事態が発生してしまった場合の漏えい等の報告の内容・方法・報告期限、(iii)内部的な報告体制等――について今一度の確認を行うよう求めている。
個人情報委、個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起について
https://www.ppc.go.jp/news/careful_information/231116/