はじめに
個人情報保護法の令和2年改正により、個人情報の漏えい事案が発生した場合の対応が法定化されました。このため、令和3年4月1日以降、万が一の漏えい事案が発生した場合に適切な対応がとれるよう、ルールをあらためて確認しておくことが重要です。
どのようなときに対応が必要か
まず、1件でも発生した場合には法定の対応が必要な個人データの漏えい等(*1)は、以下のとおりです(施行規則7条)。
A)要配慮個人データを含むもの(1号)
B)不正利用により財産的損害が生じるおそれがある(*2)もの(2号)
C)不正目的(*3)によるもの(3号)
*1 漏えい、滅失(消えること)若しくは毀損(内容が変更し又は利用不能となること)をいいます。
*2 クレジットカード番号の漏えいが典型的です。一方で、預貯金の口座番号のみや購入履歴のみといった場合には該当しないと解されています。
*3 従業員の持ち出しや不正アクセス(ハッキング)による漏えいが典型的です。
これら以外の個人データの漏えいについては、D)1000人分を超える場合(4号)に法定の対応が必要となります。
必要な対応1(個人情報保護委員会への報告)
A)~D)の漏えい等のいずれかが発生したときには、個人情報保護委員会へ報告をしなければなりません(法26条第1項)。
まず、事業者は、漏えい等の発生を知った後速やかに、その時点で把握している漏えい等の概要を報告しなければなりません(規則8条第1項)。この「速やかに」は、土日祝日を含み3から5日程度と解されています。
次に、漏えい等の発生を知った日から30日以内に、漏えいした個人データの項目や本人数を含む具体的内容(規則8条第2項)を報告しなければなりません。ただし、C)の場合には60日以内に報告すれば足ります。
期 限 内 容
速報 知ってから3~5日以内 報告時に把握しているもの
確報 知ってから30日以内(Cのみ60日以内) 必要事項全部
必要な対応2(本人への通知)
A)~D)の漏えい等のいずれかが発生したときには、漏えいした個人データの本人へも通知をしなければなりません(法26条第2項)。
この本人への通知は、事態の状況に応じて速やかに、本人の権利利益の保護ために必要な範囲の内容を行えば足ります(規則第10条)。
もっとも、本人の権利利益の侵害がない(即時にデータを回収できたなど)又は侵害の可能性が極めて小さい(高度が暗号化処理がされているなど)場合には、本人への通知を省略できます(法26条第2項但書)。
おわりに
このように、法改正によって個人情報保護委員会や本人への通知が義務化されることになりました。
よって、これまでに個人情報取扱規程を定めていなかったり、規程はあっても漏えい事案対応について法改正対応がまだの事業者については、この機会に規程を策定又は見直すことが望ましいです。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。
