のぞみ総合法律事務所
弁護士　村上　嘉奈子

３　漏えい時等対応

　令和2年改正法においては，個人情報取扱事業者に対し，個人データ漏えい，滅失，毀損等の事案のうち，一定の要件を満たす重大事案について，個人情報保護委員会への報告義務及び本人への通知義務が新たに課されました。

（１）重大な個人データ漏えい等の類型

　令和2年改正法において，個人情報保護委員会への報告等が義務付けられる重大な個人データ漏えい等の事態（報告対象事態）は，以下の4つの類型に整理されます（法[i]第22条の2《令和3年改正法第26条》，規則第6条の2《令和3年改正規則第7条》）。　　　

①　要配慮個人情報が含まれる個人データの漏えい等が発生し，又は発生したおそれがある事態

個人情報保護委員会公表のガイドラインにおいては，当該ケースに該当する事例として，

　事例1）病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
　事例2）従業員の健康診断等の結果を含む個人データが漏えいした場合

　　　が挙げられています（GL通則編^[ii]58P参照）。

②　不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し，又は発生したおそれがある事態

個人情報保護委員会公表のガイドラインにおいては，当該ケースに該当する事例として，

　事例1）ECサイトからクレジットカード番号を含む個人データが漏えいした場合
　事例2）送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

　が挙げられています（GL通則編58P参照）。

③　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し，又は発生したおそれがある事態

個人情報保護委員会公表のガイドラインにおいては，当該ケ－スに該当する事例として，

　事例1）不正アクセスにより個人データが漏えいした場合
　事例2）ランサムウェア等により個人データが暗号化され，復元できなくなった場合
　事例3）個人データが記載又は記載された書類・媒体等が盗難された場合
　事例4）従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

　が挙げられています（GL通則編58～59P参照）。　　　　

④　個人データに係る本人の数が1000人を超える漏えい等が発生し，又は発生したおそれがある事態

個人情報保護委員会公表のガイドラインにおいては，当該ケースに該当する事例として，

　事例）システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり，当該個人データに係る本人の数が1000人を超える場合

　が挙げられています（GL通則編59P参照）。

　なお，上記4類型に該当するケースであっても、漏えい等の対象となった個人データについて，高度な暗号化等の秘匿化がされている場合[iii]等「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には，報告等の義務は課されません（規則第6条の2《令和3年改正規則第7条》）。

（２）個人情報保護委員会への報告義務

　上記（１）記載のいずれかの要件に該当する漏えい等（報告対象事態）につき個人情報取扱事業者が個人情報保護委員会への報告義務を負う場合においては，原則として「速報」と「確報」の二段階に分けて報告するものとされます（法第22条の2第1項《令和3年改正法第26条第1項》，規則第6条の2～第6条の3《令和3年規則第7条～第8条》）。
　「速報」は個人情報取扱事業者が事態の発生を認識した後速やか（従事者が当該時点を知った時から概ね3～5日以内）に，「確報」は30日以内（不正目的漏えい等の場合は60日以内）に行うものとされ，いずれも所定の事項につき，個人情報保護委員会のホームページの報告フォームに入力する方法により行う必要があります（GL通則編60～63P参照）。

（３）本人への通知義務

　個人情報取扱事業者が報告対象事態を知ったときは，当該事態の状況に応じて速やかに，本人に対して所定事項を通知する義務を負います（法第22条の2第2項《令和3年改正法第26条第2項》，規則第6条の5《令和3年改正規則第10条》）。
　本人への通知に際しては，文書の送付，電子メールの送信などの方法による個別通知が原則とされ，個人情報取扱事業者が本人の連絡先情報を保有していないことなどの事情によって個別通知が困難である場合は，「本人の権利利益を保護するために必要な代替措置」として，事案の公表や問合せ窓口の設置・公表などの措置を講ずる必要があります（GL通則編64～67P参照）。
　なお，必要な初期対応が完了していない時点で本人に通知することなどにより，被害拡大等の支障が生じるケースも想定されることから，かかる本人への通知は必ずしも個人情報取扱事業者が報告対象事態を知った時点で直ちに行うものとはされておらず，個別の事案において，その時点で把握している事態の内容，通知を行うことで本人の権利利益が保護される蓋然性，本人への通知を行うことで生じる弊害等を勘案した上で事業者において通知時期を判断するものとされています（GL通則編65P参照）。

（４）漏えい時等対応に関する改正を踏まえた実務対応

　以上のような令和2年改正法における漏えい時等対応に関する改正を踏まえ，事業者において，有事の対応とは勿論のこと，平時から漏えい等事案発生の防止策を講じるとともに，事業者の従事者において漏えい等事案を認知した場合の情報共有体制やその後の対応のための体制を整備しておく必要性が益々高まるものと解されます。
　また，上記のとおり，該当の個人データについて「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合は，個人情報保護委員会への報告等義務から除外されるとともに被害の拡大防止にもつながりますので，このような施策につき検討を進めることも肝要と考えられます。

[i] 令和2年改正個人情報保護法

[ii] 個人情報の保護に関する法律についてのガイドライン（通則編）（令和3年10月一部改正）

[iii] 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A（令和3年9月10日更新版）においては「高度な暗号化等の秘匿化がされている場合」として，当該漏えい等事案が生じた時点の技術水準に照らして，漏えい等が発生し，又は発生したおそれがある個人データについて，これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに，そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解される旨が明らかにされています（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A《令和3年9月10日更新版》Q 6‐16参照）。