論点整理＃２ 漏えい等報告及び本人通知

個人情報保護委員会にて、令和２年改正個人情報保護法の政令・規則・ガイドライン等の整備に向けた論点整理が行われています

令和２年10月30日に開催された第156回個人情報保護委員会にて、「漏えい等報告及び本人通知」の考え方や具体的な事例について議論され、その資料が公開されました

本日は「漏えい等報告及び本人通知」について整理してみました

１．漏えい等報告・本人通知の概要

漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告・本人への通知を義務化（改正法第22条の２）

✅ 漏えい等報告の趣旨
委員会が事態を早急に把握し、必要な措置を講じることができるようにすること

✅ 本人通知の趣旨
通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること

２．漏えい等報告・本人通知の対象となる事態

✅ 要配慮個人情報

✅ 財産的被害が発生するおそれがある場合
（例：クレジットカード番号やインターネットバンキングのID・パスワード等）

✅ 故意によるもの（例：不正アクセスや従業員による持ち出し等）

✅ 大規模な漏えい等（1,000人を基準）

✅「おそれ」がある事態も対象
※高度な暗号化等の匿化された個人データは対象外

３．漏えい等報告の時間的制限・報告事項

速報は「速やかに」
その時点で把握している事項を報告
※明確な時間的制限を設けないが、ガイドラインで目安を示す

確報は「30日以内」
原因や再発防止策も含めた報告
※不正アクセスなど、専門的な調査が必要になる場合は「60日以内」

４．本人通知の時間的制限・通知事項

委員会への報告を要する事態が生じた場合には、本人に対しても通知を行う必要がある。

✅ 本人側でも必要な措置を講じられるよう、速やかに

✅ 本人が事態を適切に理解するために必要な事項を通知

５．委託先から委託元への通知方法

✅ 原則として委託元と委託先の双方が報告義務を負う

✅ 委託元（先）への通知は速やかに行うこと

✅ 委託先が委託元に通知したときは、委託先の報告義務を免除

💡 委託先は実態把握を行うとともに、漏えい等報告にも協力すること

議事概要

熊澤委員
「漏えい等報告の義務化については、あまたの企業にとって影響が大きく、その対応が課題となる。特に漏えい等事案発生時、企業は限られた時間で多くの対応が求められることとなる。そのため、漏えい等報告についても、適切な制度整備はもとより、企業実務に即した形での分かりやすい周知広報も重要であり、今後しっかりと取り組んでいく必要がある」

宮井委員
「認定個人情報保護団体は、事業者の個人情報の取扱いに対する苦情処理や適正な取扱いについて指導や支援を行うなど、重要な役割を担っている。漏えい等報告においては、事業者の立場に立ったきめ細かな指導等の積極的な役割を果たす、好事例も出てきている。このような、良い事例も踏まえながら、認定団体の漏えい等事案への関与の在り方を考えていくべき。
また、漏えい等報告に限らず、認定団体については、自主的取組を充実していくことが期待されているが、それらの活動を後押しするように、望ましい活動の方向性を委員会として明確に示すことは有益であると考える」

大島委員
「漏えい等報告により、委員会が事態を把握した後、早急に必要な措置を講じることが求められるわけであるが、委員会における漏えい等報告の受付体制をはじめ、本人への適切な対応の働きかけ・再発防止への取組などの指導面の強化を含め、監督体制を今後更に充実させていく必要がある」

丹野委員長
「今回の議論も前回の議論同様に、現時点での方向性を議論したものであり、決定ではないため、本日の議論も踏まえ、引き続き積極的に慎重に検討を進めてまいりたい」

本日の引用文献

第156回個人情報保護委員会（令和２年10月30日）

改正法に関連する政令・規則等の整備に向けた論点について（漏えい等報告及び本人通知） (PDF : 533KB)

議事概要 (PDF : 109KB)

本日のアウトプットはいかがでしたか？
少しでも参考になりましたら
❤️（スキ）で応援いただけると大変励みになります

では、また！

ところで、他の「論点整理」も気になりませんか？

令和２年改正個人情報保護法の論点整理してみました｜でんぞう＠しがない個人情報保護士｜note