個人情報漏えい報告が前年比３倍、改正個人情報保護法の全面施行が背景に

2022年11月9日、個人情報保護委員会は令和4年度上半期（令和4年4月1日～9月30日）の主な活動実績について公表しました。^※1

報告によると、上半期に委員会へ報告のあった漏洩事案の件数は1,587件。これは前年度上半期の報告件数517件と比較して3倍近い件数となっています。委員会はこの理由として、今年4月に全面施行された令和2年改正法により漏えい等発生時における報告が義務化されたことの影響が大きいとしています。
なお漏洩事案の主な発生原因としては、病院や薬局における要配慮個人情報を含む書類の誤交付及び紛失であり、またその他の発生原因としては、ウェブサイトやネットワークの脆弱性を突いた不正アクセス等が多くありました。

個人データの適切な取扱いについての注意喚起

活動実績の公表と同日9日、個人情報保護委員会は上記結果を踏まえた上での注意喚起を行っています。^※2

まず病院・薬局における要配慮個人情報の漏洩を防ぐためには、誤交付等を単なる不注意として片づけず、「個人情報の保護に関する法律についてのガイドライン（通則編）」（以下「個人情報保護法ガイドライン」）および「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」を踏まえ、適切な安全管理措置を講ずることが必要であるとしています。その具体的な対応の例として下記を挙げています。

・業務プロセスやマニュアルの見直し
・個人情報の取扱いに関する意識の涵養やマニュアルに基づく対応について、従業者への研修等を通じて継続的に周知徹底する

また、ウェブサイトやネットワークの脆弱性を突いた不正アクセスへの対策として、セキュリティパッチの適用による脆弱性への対処や不審なメール等を開封しないといった基本的な対策の必要性を提示しています。またやはり「個人情報保護法ガイドライン」に定められている管理措置を講じることが重要としています。

中小企業では違法状態が放置されるケースも

11月25日の日経新聞記事によると、中小企業にとっては委員会へ報告するためのフォレンジック調査にかかる費用が大きな負担となること、また制度の知名度も低いことなどから、違法状態が放置されてしまうケースがあるようです。^※3

帝国データバンクが中小を中心とした約1200社に実施した調査では、今年度上半期にサイバー攻撃を受けた企業は全体の17%に上るのに対し、被害企業の78%は攻撃後に費用を支出していないことから、フォレンジック調査をしていない可能性があるとのことです。

またそもそも法改正を認識していない企業も多く、報告義務とその意義の周知を図る必要があります。

報告義務の例外となる対策とは

上記の通り、個人情報保護委員会への報告や本人通知には非常に多くのコストが発生しますが、「個人情報保護法ガイドライン」には漏えい等が発生した場合においても報告義務の例外となる場合について記載されています。それが、暗号化が講じられた個人データの漏えい等についてです。

ガイドラインでは「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものは除かれる」とされ、個人情報が外部に流出したとしても不正に利用できないような措置がされている場合は対象外となり報告義務は発生しません。詳しい内容は弊社コラム「改正個人情報保護法の新しい規定「漏えい等の報告等」とは」をお読みください。

令和2年改正法をきっかけに、個人情報取扱事業者の責務はより大きくなりました。委員会への報告・本人通知の義務化もその一つです。事業者はガイドラインの内容をよく理解し、まずはインシデントを起こさないための対策、そしてもし起こしてしまった場合に備えたインシデント対応方法の計画・策定を事前に行うことが必要です。