はじめに
個人情報保護法において、個人データの漏えい等が発生した場合、一定の条件下で個人情報保護委員会への報告や本人通知が義務付けられています。
しかし、漏えい等が発生した個人データについて「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には、これらの義務が免除される例外が設けられています。
このコラムでは、その趣旨や要件、実務上の留意点について詳述します。
報告義務等の基本構造と例外規定
個人情報保護法26条および施行規則7条は、漏えい等が発生した場合の報告義務を定めています。
ただし、報告対象となる個人データから「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたもの」(施行規則7条1号)は除外されており、これに該当する場合は報告義務や本人通知義務が免除されます。
この例外は、旧告示時代からの実務運用を踏まえ、技術的に十分な安全措置が講じられている場合には、実質的な権利侵害のリスクが低いことを根拠としています。
「高度な暗号化等の秘匿化」とは何か
そこで、「高度な暗号化等の秘匿化」とは何かが問題となります。
この点、「高度な暗号化等の秘匿化」とは、漏えい等が生じた時点の技術水準に照らして、第三者が当該個人データを見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられていること、かつ、その情報を見読可能な状態にするための手段(復号鍵等)が適切に管理されていることを指します。
具体的には、電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、かつ適切に実装されていることが求められます。
また、復号鍵の管理については、以下のいずれかの措置が必要です(Q&A Q6-19)
1)暗号化した情報と復号鍵を分離し、復号鍵自体の漏えいを防止する適切な措置を講じていること
2)遠隔操作により暗号化情報または復号鍵を削除できる機能を備えていること
3)第三者が復号鍵を行使できないように設計されていること
実務上の判断基準と留意点
「高度な暗号化等の秘匿化」が認められるか否かは、漏えい等が発生した時点の技術水準を基準に個別具体的に判断されます。
例えば、ランサムウェア攻撃により個人データが窃取された場合でも、当該データが上記の要件を満たす暗号化等の措置が講じられていれば、報告義務や本人通知義務は生じません。
ただし、暗号化技術が時代遅れであったり、復号鍵の管理が不十分であった場合は例外の適用は認められません。
平時の対策としての意義
報告義務等の免除を受けるためには、平時から個人データに対して高度な暗号化等の措置を講じておくことが重要です。
特に、平文で保有する必要のない個人データについては、積極的に暗号化等の技術的措置を導入することが、リスク低減と法的義務回避の両面で有効です。
なお、暗号化等の措置を講じていても、復号鍵の管理が不十分であれば例外の適用は認められないため、運用面での管理体制の整備も不可欠です。
例外適用時の実務対応
「高度な暗号化等の秘匿化」が認められる場合、個人情報保護委員会への報告や本人通知は不要となりますが、事案の内容や社会的影響によっては、任意で公表や情報提供を行うことが望ましい場合もあります。
また、電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術以外の技術を利用しており、例外適用の判断に迷う場合は、専門家や評価機関の意見を仰ぐ、又は個人情報保護委員会へ速報をした上で
対応を相談することが推奨されます。
まとめ
「漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」は、個人情報保護法上の報告義務・本人通知義務の例外として重要な位置づけを持ちます。
技術的・運用的な要件を満たすことで、漏えい等発生時の法的リスクを大きく低減できるため、平時からの備えと適切な管理体制の構築が不可欠です。
弊所では、個人データ関連のご相談を多数お受けしていますので、お気軽にお問い合わせください。
