名刺の盗難であっても個人情報保護委員会への報告が必要に?!
この原稿を書いている日からまもなく、令和6年(2024年)4月1日より、改正個人情報保護法施行規則が施行されます。
いくつか改正点はあるのですが、その中でも多くの企業や個人事業主、フリーランスにとって影響があるのが、個人情報保護委員会への報告と安全管理措置の対象が拡大される点です。
従来は、個人情報保護委員会への報告が必要な事例は、不正の目的をもって行われた「個人データの漏えい、滅失、毀損など」が対象とされていました。
ここでいう「個人データ」とは、データベース化されていたり、50音順に並べられていたりと、容易に検索することができるように体系的に構成されたもの(これを「個人情報データベース等」といいます。個人情報保護法16条1項)を構成する個人情報をいいます(個人情報保護法16条3項)。
これは、あらゆる個人情報が該当するのではなく、Excelに列挙されていたりアドレス帳に登録されていたりなど、データベースのように管理・利用されている”個人情報データベース等”に含まれている個人情報を指しています。
つまり、個人情報データベース等を構成していない個人情報、例えばアドレス帳に登録する前の名刺であったり、お客様から書いてもらったばかりのアンケート用紙などは、個人情報は記されていますが、個人情報データベース等は構成していないため、仮に盗難されたり不正に持ち出された場合であっても、委員会への報告は不要でした。
また、今回の改正の主な目的であった、「ウェブスキミング」も同様です。
ウェブスキミングとは、悪意のある第三者が、ECサイトやお問い合わせフォームなどインターネット上で個人情報を入力する画面を改ざんすることで、そこに入力される個人情報を盗み取る犯罪手法です。
ここで盗まれた個人情報も、ウェブサイト運営者が個人情報データベース等に登録する前に盗まれていますので、従来の規則では委員会への報告が必要な”個人データ”には該当しませんでした。
しかし、個人データではなくても不正目的で取得された個人情報は悪用される可能性が高く、個人の利益を損なうおそれもあるため、個人情報保護法施行規則が改正され、7条3号が次のように変わりました。(※太字は筆者による)
これにより、先述のような名刺の盗難やウェブスキミングなどが発生した場合など、個人データとして取り扱うことが予定されている個人情報が漏えい等したときも、個人情報保護委員会への報告が必要になります。
(※ただし、このような個人データや個人情報に対して「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合は、報告義務はありません)
さらに注意が必要なのが、ここで挙げられている「当該個人事業取扱事業者」には、業務委託先の第三者も含まれるものとされています。
ガイドラインに関するQ&Aによれば、次のような業務委託先(第三者)が考えられるとしています。
配送先となる顧客の住所・氏名などを伝えているDM配送事業者
個人データまたは個人情報を保管しているストレージサービスの提供事業者
個人情報を入力させるフォームURLなどを短縮するサービスの提供事業者
ユーザーの閲覧履歴等の個人情報を取得・管理できるツールの提供事業者
上記のような事業者に対して個人情報の取得や管理を委託している場合において、その委託している情報に関して委託先が名刺の盗難やウェブスキミング被害に遭った場合も、委託元と委託先の双方が原則として報告義務を負うことになります。
なお、委託先が漏えい等があったことを委託元に速やかに通知した場合は、委託先は個人情報保護委員会への報告義務が免除されますので、通知を受けた委託元は、速やかに個人情報保護委員会に報告する必要があります。
(ちなみに、ガイドラインによれば、ここでの「速やかに」とは、漏えい等があったことを知ってからおおむね3〜5日とされています。)
このように、個人情報保護委員会への報告が必要な事例が増えることになりますので、個人データまたは個人情報に関して、盗難や不正アクセス、マルウェア感染、従業員による不正な外部への持ち出しなどが発生した際に速やかに適切な対応がとれるよう、社内規則などの改定についても検討が必要です。
なお、報告が必要となるのは「不正の目的をもって行われたおそれがある」ものに限られますので、具体的には個別の事案に応じて判断する必要がありますが、単に名刺を紛失しただけであったり、個人情報が記されたアンケート用紙を紛失したことだけをもって報告義務が生じるものではないようです。((別紙)個人情報の保護に関する法律施行規則の一部を改正する規則案等に関する意見募集結果 p7より)
もちろん、ただの紛失ではなく盗難であれば、「不正の目的をもって行われたおそれがある」漏えいに該当すると考えられます。(前掲意見募集結果 P14より)
なお、今回の改正には関係なく従来からの規定ですが、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、健康診断結果など)の漏えい、滅失、毀損が発生し、または発生したおそれのあるときは、不正の目的ではなくとも個人情報保護委員会への報告が必要です(個人情報保護法施行規則7条1号)。
この記事が気に入ったらサポートをしてみませんか?