令和6年4月1日に個人情報の保護に関する法律施行規則(以下「規則」といいます。)が改正されます。これにより、個人データの漏えい発生時に義務付けられている個人情報保護委員会への報告と本人への通知(あわせて以下「報告等」といいます。)の対象が拡大されます。
これによって、個人情報取扱事業者はプライバシーポリシー等の修正対応が求められるため、確認が必要です。
まず、現行法では、下記の要件に該当する場合、漏えい等報告等が義務付けられています(規則第7条)。
(1) 要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
(3) 不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)
(4) 個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)
現行法で報告等を義務付けているのは、個人情報の漏えい等ではなく、個人データの漏えい等のみでしたが、今回の改正によって、第7号が以下のとおり改正され、不正の目的をもって行われたおそれがある一定の個人情報の漏えい等について、報告等の対象に含まれることとなりました。
(略)
(3) 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
すなわち、これまで漏えい等報告等の義務だった個人データのみならず、個人情報取扱事業者が個人データとして取り扱うことを予定している個人情報についても、不正目的をもって行われたおそれがある当該事業者に対する行為による漏えい等が発生した場合は、報告等が必要となります。
そもそも、個人情報(法第2条第1項)と個人データ(法第16条第3項)の違いは何かを説明すると、個人情報とは、データベース化されていない散在情報のことをいい、個人データとは、特定の個人情報をデータベース化して検索することが出来るようにしたもの等をいいます。
例えば、Web上でECサイトを通じて利用者が氏名、配送先住所、クレジットカード情報を入力したとします。その場合、利用者が入力した氏名、配送先住所と購入品情報が個人情報取扱事業者のWebサーバに到達し、データベースを構成した時点で「個人データ」となり、データベースを構成する以前は「個人情報」となります。
また、例えば、オフラインで営業担当者がお客様から紙の申込書で氏名、住所、申込商品の情報等をもらい、会社に持って帰って来て会社でデータベース化をする場合には、データベースに入力する前までは「個人情報」、データベースに入力後は「個人データ」となります。
そして、これらの「個人データ」として取り扱う前の「個人情報」が、今回報告等対象となった「個人データとし取り扱うことを予定しているもの」となります。
今回の規則改正の背景にはウェブスキミングがあります。
ウェブスキミングとは、ECサイトなどによく仕掛けられる攻撃手法です。
ECサイトでは、利用者が氏名や発送先、クレジットカード番号の情報を入力し、注文確定ボタンを押すと、氏名や発送先は個人情報取扱事業者に送られ、クレジットカード情報は決済サービス会社に送られる仕様となっているところ、攻撃者がECサイト上に不正プログラムを設置することで、利用者が通常通りECサイトを利用し個人情報を入力すると、当該ECサイト運営事業者(個人情報取扱事業者)や決済サービス会社にも情報が送信されるものの、同時に攻撃者のサーバにも個人情報を送信してしまうという手法です。
上記の説明のとおり、利用者が個人情報取扱事業者の運営しているECサイトに個人情報(クレジットカード番号や氏名等)を入力し、ECサイトのWebサーバが受信する直前までの期間は取得しようとしている個人情報、Webサーバが情報を受信してから、個人情報データベースを作成するまでは、個人データとして取り扱う予定のものとなり、最後に、データベースに登録されると、個人データとなります。
個人データ(既にデータベース化した個人情報)のみが報告等対象となっている現行法では、こうしたウェブスキミングのような手法だと、個人情報取扱事業者を経由せずに直接攻撃者に情報が送られてしまうため、個人情報取扱事業者にとっての個人データではなくなってしまいます。
ですが、攻撃者に個人情報が流出してしまうという点では、個人情報取扱事業者を経由してもしなくても利用者本人の損害は同じです。
こうした背景の元、個人データを取得する前の取得しようとしている個人情報についても報告対象となったと考えられます。
また、漏えい等報告の他に、個人情報取扱事業者が講ずべき安全管理措置についても、ガイドラインが改正され、事業者が個人データとして取り扱うことを予定している個人情報の漏えい等を防止するために必要かつ適切な措置まで拡大されることになりました。
現行ガイドライン通則編3-4-2
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
改正ガイドライン通則編3-4-2
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
なお、「その他の個人データの安全管理のために必要かつ適切な措置」 には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
よって、今回の規則改正により、個人情報取扱事業者は、プライバシーポリシーの安全管理措置の対象の修正、また、社内の個人情報取扱規程や個人データ漏えい等への対応手続にかかる社内規程等の改訂等が必要となります。
弊所では、スポットでのご相談やご依頼もお受けしておりますので、お気軽にお問い合わせください。
参考
個人情報保護委員会 漏えい等の対応とお役立ち資料
https://www.ppc.go.jp/personalinfo/legal/leakAction/
個人情報保護委員会第253回議事資料
https://www.ppc.go.jp/aboutus/minutes/2023/20230913/
関連コラム
- 個人情報保護法の「個人情報」とは
- 「個人情報」、「個人データ」、「保有個人データ」の違いは何か
- 「個人情報取扱事業者」について
- 個人情報の取得・利用に関する4つのルール
- 個人情報保護法上の、中小企業に求められる「安全管理措置」とは
- 【2022年4月個人情報保護法改正】確認しておきたい個人情報の漏えい対応