はじめに
個人情報保護法の令和２年改正により、個人情報の漏えい事案が発生した場合の対応が法定化されました。このため、令和３年４月1日の施行を控えて、万が一の漏えい事案が発生した場合に適切な対応がとれるよう、ルールをあらためて確認しておくことが重要です。

どのようなときに対応が必要か
まず、１件でも発生した場合には法定の対応が必要な個人データの漏えい等（＊１）は、以下のとおりです（施行規則６条の２）。
A）要配慮個人データを含むもの
B）不正利用により財産的損害が生じるおそれがあるもの（＊２）
C）不正目的（＊３）によるもの

＊１　漏えい、滅失（消えること）若しくは毀損（内容が変更し又は利用不能となること）をいいます。
＊２　クレジットカード番号の漏えいが典型的です。一方で、預貯金の口座番号のみや購入履歴のみといった場合には該当しないと解されます。
＊３　従業員の持ち出しや不正アクセス（ハッキング）による漏えいが典型的です。

これら以外の個人データの漏えいについては、1000人分を超える場合（D）に法定の対応が必要となります。

必要な対応１（個人情報保護委員会への報告）
A）～D）の漏えい等のいずれかが発生したときには、個人情報保護委員会へ報告をしなければなりません（法22条の２第１項）。
まず、事業者は、漏えい等の発生を知った後速やかに、その時点で把握している漏えい等の概要を報告しなければなりません（規則６条の３第１項）。この「速やかに」は、土日祝日を含み３から５日程度と解されています。
次に、漏えい等の発生を知った日から30日以内に、漏えいした個人データの項目や本人数を含む具体的内容（規則６条の３第１項）を報告しなければなりません。ただし、C)の場合には60日以内に報告すれば足ります。

期　限　　　　　　　　 　　　　　　　　内　容
速報 知ってから3～5日以内 　　　　　　　　　報告時に把握しているもの
確報 知ってから30日以内（Cのみ60日以内） 　必要事項全部

必要な対応２（本人への通知）
A）～C）又は1000人を超える個人データの漏えい等のいずれかが発生したときには、漏えいした個人データの本人へも通知をしなければなりません（法22条の２第２項）。
この本人への通知は、事態の状況に応じて速やかに、本人の権利利益の保護ために必要な範囲の内容を行えば足ります（規則第6条の5）。
もっとも、本人の権利利益の侵害がない（即時にデータを回収できたなど）又は侵害の可能性が極めて小さい（高度が暗号化処理がされているなど）場合には、本人への通知を省略できます（法22条の2第2項）。

おわりに
このように、令和2年改正によって個人情報保護委員会や本人への通知が義務化されることになりました。
よって、これまでに個人情報取扱規程を定めていなかったり、規程はあっても漏えい事案対応について令和２年改正対応がまだの事業者については、この機会に規程を策定又は見直すことが望ましいです。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。
お問い合わせフォームはこちら