個人情報漏洩が発生したら?企業が採るべき行政対応を解説
インターネットが発達し、オンラインで情報のやりとりができるようになったことから、思わぬ形で企業の重要な情報が漏洩してしまうケースも増えてきています。
近年、情報の価値が高まってきていることもあり、ひとたび情報漏洩が発生してしまうと信用を損なう大きな問題となってしまうケースもあります。企業としては、情報漏洩が発生した場合には、速やかに適切な対応を採ることが求められています。
ここでは、情報漏洩が発生してしまった場合に企業が行うべき対応のうち、行政対応を中心に詳しく解説します。
この記事の目次
行政対応が必要になる情報漏洩も
情報漏洩といっても、情報の内容や情報の重要性は異なります。情報漏洩が発生した際に行政対応が必要になるのは、個人情報が漏洩した場合です。
個人情報の定義については、以下の個人情報の保護に関する法律(以下「個人情報保護法」といいます。)第2条第1項で規定されています。
(定義)
e-GOV|個人情報の保護に関する法律
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
上記の定義に該当する情報については、個人情報として、個人情報保護法による保護を受けることになります。
また、情報漏洩が発生した際の企業のとるべき対応には、行政対応のほかにも情報開示などが必要になるケースがあります。これについては下記記事をご参照ください。
個人情報の漏洩に関する報告義務
個人情報取扱事業者は、個人情報の漏洩等または漏洩のおそれがある状況が生じたときは、発生した状況により、個人情報保護委員会に報告を行う義務があります。
なお、令和4年4月1日よりも前は、漏洩等または漏洩のおそれがある状況が生じたときの個人情報保護委員会に対する報告については、義務ではなく、努めるものとされていました。個人情報保護法が改正されたことにより、令和4年4月1日以降は、個人情報保護委員会への報告が義務になりました。
ここでいう「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(個人情報保護法第16条第2項)。ただし、国の機関・地方公共団体・独立行政法人等・地方独立行政法人は、個人情報取扱事業者には含まれません。
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除いた次の2つの要件のいずれかを満たすものをいいます(個人情報保護法第16条第1項)。
- 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 特定の個人情報を容易に検索することができるように体系的に構成したもの
個人情報データベース等を事業の用に供している個人情報取扱事業者が、個人情報委員会への報告義務を負うことになります。
関連記事:2022年改正個人情報保護法 「事業者の責務」について注意点を解説
個人情報保護委員会への報告が必要な4つのケース
個人情報の漏洩が発生した際に個人情報保護委員会に報告を行う必要があるケースとして、以下の4つが定められています(個人情報の保護に関する法律施行規則第7条)。
- 要配慮個人情報が含まれる個人データの漏洩等が発生し、または発生したおそれがあるとき
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等が発生し、または発生したおそれがあるとき
- 不正の目的をもって行われたおそれがある個人データの漏洩等が発生し、または発生したおそれがあるとき
- 個人データに係る本人の数が1,000人を超える漏洩等が発生し、または発生したおそれがあるとき
以下で、これらのケースについて説明します。
要配慮個人情報の漏洩
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害などの、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める個人情報をいいます。
例えば、従業員の健康診断の結果などで、従業員の病歴に関する事項は、要配慮個人情報に該当することとなります。
財産的被害が生じるおそれがある個人情報の漏洩
ここでは、個人データのうち不正に利用されることにより財産的損害が生じるおそれがある個人データが漏洩した場合について規定されています。
具体例としては、企業が顧客のクレジットカード情報を漏洩等させた場合などが該当します。
不正の目的をもって行われた個人情報の漏洩
個人データを漏洩等させた主体に、不正の目的がある場合がこれに該当します。
例えば、第三者や企業の従業員が、個人情報を不正に利用する目的で、企業のネットワークに不正にアクセスし、個人データを漏洩等させた場合などが該当します。
大規模な個人情報の漏洩
個人データに係る本人の数が1,000人を超える漏洩の場合がこれに該当します。
大量の個人データを取り扱う企業の場合、一度に大量の個人データの漏洩等が生じてしまう可能性がありますので注意が必要です。
情報漏洩時の個人情報保護委員会への報告事項
個人情報保護委員会に報告が必要な状況となった場合には、以下の個人情報の保護に関する法律施行規則第8条第1項で規定された事項の報告を行う必要があります。
(個人情報保護委員会への報告)
e-GOV|個人情報の保護に関する法律
第八条 個人情報取扱事業者は、法第二十六条第一項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
上述の報告が必要な4つのケースのいずれかに該当する場合には、事業者は速やかに次の事項を個人情報保護委員会へ報告しなければなりません。
- 概要
- 漏洩等が発生し、または発生したおそれがある個人データの項目
- 漏洩等が発生し、または発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害またはそのおそれの有無およびその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
ただし、これらの報告事項のうち報告の時点で把握しているものだけでかまいません。
情報漏洩時の個人情報保護委員会への報告期限
個人情報保護委員会への報告については、期限が規定されています(個人情報の保護に関する法律施行規則第8条第2項)。
個人情報保護委員会の報告は、原則として、漏洩等の事態を知った日から30日以内に行う必要があります。個人データを漏洩等させた主体に不正の目的がある場合については、60日以内に報告を行う必要があります。
本人への通知義務
個人情報漏洩が発生した場合には、個人情報保護委員会への報告義務のほかにも、本人への通知義務についても規程されています(個人情報保護法第26条第2項)。
本人への通知については、本人がなるべく早い段階で個人情報の漏洩等に対する対応を行うことにより、本人の権利利益が侵害されることを防ぐことが目的となっています。そのため、個人情報取扱事業者は本人に対して速やかに通知を行わなければならないとされています。
まとめ:個人情報漏洩の行政対応は弁護士にご相談を
以上、企業において個人情報漏洩が発生してしまった場合に、企業が行なわなければならない対応について、行政対応を中心に説明しました。
企業としては、当然のことながら、情報の漏洩等が発生しない仕組みづくりをしておくことが重要になりますが、万が一、情報の漏洩等が発生してしまった場合には適切に対応を行う必要があります。
個人情報保護法については、改正も多い法律であり、複雑な構造となっている部分もあるため、適切な対応を行うためには、専門的知識を有する弁護士に相談をすることをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。昨今、個人情報はの漏洩は大きな問題になっています。万が一個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当社は情報漏洩防止や対応策について専門的な知見を有しています。下記記事にて詳細を記載しております。
カテゴリー: IT・ベンチャーの企業法務
