個人データが漏えいした場合に必要な対応

by privacy

取り扱っている個人データが漏えいした、または漏えいしたおそれのあることが発覚した場合には、どのような対応が求められるのでしょうか。

この点について、ガイドライン(個人情報の保護に関する法律についてのガイドライン(通則編))で、次の5つが挙げられています。

(1)事業者内部における報告及び被害の拡大防止

まずは社内規程などに従って、代表者など責任のある立場の者に対して報告を行う必要があります。
それと同時に、これ以上被害が拡大しないように、漏えいを止めるために必要な措置などを行う必要があります。

(2)事実関係の調査及び原因の究明

漏えいを止めるための措置に目処がついたら、発生した、または発生したおそれのある漏えいの事実についての調査を行うほか、その原因を究明するために必要な措置も講じる必要があります。

(3)影響範囲の特定

事実関係の調査に基づいて、漏えい発生による影響範囲を特定するために必要な措置を講じます。

(4)再発防止策の検討及び実施

漏えい発生の原因を踏まえて、再発防止策について検討し、それを実施するために必要な措置を講じます。

(5)個人情報保護委員会への報告および本人への通知

個人情報保護委員会規則で定める、個人の権利利益を害するおそれが大きいとされる漏えい等(個人データの漏えい、滅失、または毀損を意味します)が発生した場合には、個人情報保護委員会へ報告するとともに、本人に対して通知をしなければなりません(法26条)。

なお、故意や過失(メール誤送信など)など事業者の責任である場合に限らず、ハッキング被害など事業者の責任ではない場合であっても、先述の報告・通知を行う必要があります。
また、実際に漏えいしたことが確認できた場合だけに限らず、漏えいしたおそれがある場合(例えば、クラウドでの共有設定を誤ったことで2000人分の個人データが外部から閲覧可能となっていた場合で、ログなどの調査により外部からのアクセスが0だったことを確認できないとき)も対象となります。

この報告・通知を行わなければならないものは、次の4つの場合です。
特に、a〜cの3つについては、1 件の漏えい等であっても対象となりますので注意が必要です。
なお、これらに該当する場合は報告・通知の義務を負いますが、該当しない場合であっても、任意で個人情報保護委員会に報告することは可能です。

a)要配慮個人情報が含まれる個人データの漏えい等

代表的な例としては、病院における患者の診療情報や調剤情報の流出、他人の処方箋を渡す、従業員の健康診断結果が含まれていた場合、などがあります。

b)不正に利用された場合に財産的被害が生じるおそれがある個人データの漏えい等

代表的な例としては、クレジットカード情報や、決済機能のあるウェブサービスへのログイン情報が該当します。
なお、漏えい等したのがクレジットカード番号の下4桁のみ、といった場合は、それだけでは第三者がクレジットカード情報を利用することができないため、このケースには該当しません。

c)不正の目的をもって行われたおそれのある漏えい等

代表的な例としては、不正アクセスやランサムウェアなどによる被害、従業員による持ち出し、ウェブサイトの改ざんにより利用者が入力した個人情報が第三者に渡った場合(ウェブスキミング)などが該当します。

d)個人データにかかる本人の数が1000人を超える漏えい等

漏えい等した個人データの件数ではなく、その個人データによって特定できる本人の数が1000人を超える場合に報告・通知義務が課せられます。
また、本人の数が確定できない場合であっても、その個人データによって特定できる本人の数が最大1000人を超える場合も対象となります。

個人情報保護委員会への報告の時期と方法

先述の(5)による個人情報保護委員会への報告は、その時期や方法についてもルールがあります。

まずこの報告は「速報」と「確報」の2段階で行う必要があります。

速報

速報については、漏えい等を知った後に「速やかに」行わなければなりません。この「速やかに」については、原則として漏えい等を知ってから3〜5日以内とされています。

報告する内容は、以下の情報のうち、報告時点で把握している範囲です。

  1. 概要
  2. 漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
  4. 原因
  5. 二次被害又はそのおそれの有無及びその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項

確報

漏えい等を知った日から30日以内(不正の目的をもって行われたおそれのある漏えい等の場合は60日)に、個人情報保護委員会に対して確報を報告しなければなりません。

報告する内容は、「速報」で挙げた9項目のすべてです。
ただし、合理的努力を尽くしても一部の事項が判明していない場合は、上記期限までに把握している内容について報告し、判明していなかった事項については判明次第報告を追完しなければなりません。

報告の方法

個人情報保護委員会への報告は、個人情報保護委員会のウェブサイトに専用のフォームがありますので、漏えい等した情報にマイナンバーが含まれるか否かなど状況に応じて選択し、報告を行います。

漏えい等の対応とお役立ち資料(個人情報保護委員会)

本人への通知の時期と方法

個人情報保護委員会への報告は、先述のとおり期限が決まっていますが、本人への通知期限については法令上では定められておらず、「事態の状況に応じて速やかに」しなければならないとされています。

例えば、漏えい等したデータの項目が判明していない段階では、通知を受けた本人にとっても得られる情報が少なく対応に困ります。また、通知した時点では本人以外の他人の情報も閲覧できる状態だった場合、かえって漏えい等の被害が拡大してしまいます。
このような場合には、通知の速報性が最重要ではありませんので、状況に応じて適切なタイミングでの通知が求められます。

通知する内容

本人に通知する必要がある項目は、次の5項目です。

  1. 概要
  2. 漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. 原因
  4. 二次被害又はそのおそれの有無及びその内容
  5. その他参考となる事項

通知の方法

通知方法については法令上では定められておらず、通知内容が本人に認識される合理的かつ適切な方法によらなければならないとされていますので、事業の性質や個人データの取扱い状況などに応じて、適切な方法を選択することが求められます。

個人情報保護委員会や本人への報告・通知が不要となる場合

先述のa〜dに該当する場合は、原則として個人情報保護委員会への報告と本人への通知を行う必要があるのですが、例外として、「高度な暗号化等の秘匿化がされている場合」には報告・通知の義務はありません。

これは、単にパスワードを設定している程度のものではなく(どんなに複雑なパスワードであっても同様)、AESなどの電子政府推奨暗号リストなどに掲載されている暗号技術を用いて適切に暗号化されており、さらに復号鍵の漏えいを防止する適切な措置が講じられているなどの条件に当てはまる場合です。