改正個人情報保護法の新しい規定「漏えい等の報告等」とは

改正個人情報保護法は2022年4月1日に全面施行されることとなっており、それに先立って2020年12月12日には法定刑の引き上げ、2021年10月1日には第三者に提供しようとする際の経過措置が施行されています。

今回の改正内容として、第22条の2に「漏えい等の報告等」という新たな規定が設けられました。この規定には、個人情報保護委員会や漏洩した個人情報の該当本人への通知がどのようなケースにおいて必要なのか、またはどのような報告が求められているのかが定められています。

今回のコラムでは、この規定によって報告義務が発生するケースと報告内容について説明します。

報告義務が発生する4つのケース

改正法では「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」を報告義務の対象としており、具体的に以下の4つのケースを挙げています。

要配慮個人情報が含まれる個人データの漏えい、または発生した恐れがある事態

この「要配慮個人情報」とは、病歴や犯罪歴や信条など、偏見や差別に繋がりかねないセンシティブな個人情報を指します。詳しくは、以下のコラムを参照ください。
福岡県の新型コロナ感染者情報の漏洩 個人情報保護法と要配慮個人情報

不正利用によって財産的被害が生じるおそれのある個人データの漏えい等、または発生した恐れがある事態

このケースで対象となる情報は、クレジットカード情報や決済機能があるウェブサービスのログイン情報など、被害者本人の財産に被害が発生する恐れのある個人情報が該当します。

不正目的をもって行われたおそれがある個人データの漏えい、または発生した恐れがある事態

このケースはサイバー攻撃による不正アクセス、内部関係者による不正行為などによって発生した事件を指します。このような事件は危険性が高く、報告義務が生じます。
関係者による不正行為による情報漏えいへの対策については、過去に開催したセミナーのレポートを参照ください。
2021年5月27日開催「関係者の不正行為による情報漏洩対策」セミナーレポート

1000人以上の個人データの漏えい等、または発生した恐れがある事態

これまでの3つのケースについては一件の情報でも対象となっていました。しかし1000件以上の個人情報に漏えい等が発生した場合は、情報の内容や性質などに関わらず報告義務が発生します。

報告義務が発生するケースの注意点

上記に挙げたいずれのケースはいずれも「漏えい等」となっており、これには「滅失」や「毀損」も含まれます。
例えばウイルスなどのマルウェアの攻撃によって、バックアップも取得していない状態で削除や破損されたため、個人情報が元に戻らない事態に陥った時は「滅失」や「毀損」に当てはまり、報告の義務が発生します。

そして「発生したおそれがある事態」ともされており、実際に発生していない場合であってもその可能性がある場合に報告義務が生じるとされています。
例えば、個人情報を管理しているサーバに対して不正アクセスの痕跡が見つかった時点で、実際に漏えいした事実が確認できていなくても報告義務が発生します。

漏えい等の発生時に求められる報告

万が一、上記の4つケースに該当する事件や事故が発生してしまった場合、個人情報保護委員会と漏えいした個人情報の該当本人へ報告義務が発生します。
どのような報告が求められるかを簡単にまとめます。

個人情報保護委員会への報告

漏えい等が発生時は、個人情報保護員会へは以下の情報について報告を求められます。

  1. 概要
  2. 漏えい等が発生し、または発生した恐れがある個人データの項目
  3. 漏えい等が発生し、または発生した恐れがある個人データに係る本人の数
  4. 原因
  5. 二次被害又はそのおそれの有無及びその内容
  6. 本人への対応の実施状況
  7. 効用の実施状況

報告期限については、「速報」「確報」の2段階が設けられています。

まず報告が必要となる事件事故を知った時点から速やかな報告を求められており、これを個人情報保護法では「速報」としています。ガイドラインでは3~5日以内とされており、上記の9つの項目の内その時点で把握できている情報を報告する必要があります。

次に「確報」として事件事故を知った時点から30日(サイバー攻撃や不正行為などの不正目的をもって行われた場合は漏えい等については60日)以内に基本的に上記の全項目について報告が求められます。合理的努力を尽くした上で判明できなかった事項については、判明次第に別途報告することとされています。

本人への報告

該当本人の権利利益を保護する目的として本人通知が義務化されており、以下の情報の報告が求められます。

  1. 概要
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目
  3. 原因
  4. 二次被害またはその恐れの有無及びその内容
  5. その他参考となる事項

報告タイミングは状況に応じて速やかに行うこととされており、発生した事案によっては早まった報告によって状況が更に悪化するケースもあり得ます。そのため、あくまでも「状況に応じた」判断が必要となります。

報告義務の例外について

個人情報保護委員会への報告や本人通知には調査などに非常に多くのコストが発生しますが、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものは除かれる」とされ、個人情報が外部に流出したとしても不正に利用できないような措置がされている場合は例外となり報告義務は発生しません。

個人情報保護委員会の「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(抜粋)」(令和3年9月10日更新)には、具体的に以下のいずれかの要件を満たすこととされています。

  • 暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること
  • 遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること
  • 第三者が復号鍵を行使できないように設計されていること

DataClasysを含むDRM/IRMによって暗号化されたファイルは、暗号化を解く復号鍵を別に管理しています。そして、暗号化ファイルを利用する際に、正規のユーザであることの認証を受ける必要がありるため、第三者は不正に復号鍵を行使できません。その結果、1項と3項が満たされます。上記は3項目の内の『いずれか』を満たせばよいので、報告義務は無くなります。

改正個人情報保護法で新たに定められた「漏えい等の報告等」の規定への対応に、DataClasysは非常に大きな効果を発揮します。
これまで説明したような改正個人情報保護法への対策に不安を感じている方は、ぜひ一度お問い合わせください。
お問い合わせフォーム