見出し画像

中間整理に向け:個情法3年見直し(実効性のある監視・監督の在り方②(漏えい等報告及び本人通知の在り方))

Ami〜こちら個人情報担当です


こんばんは!

3年ごと見直し中間整理に向けた検討項目、
5/15の第284回個人情報保護委員会の以下3つのうち、昨日に続き、1番下のテーマを紹介したいと思います。
●データ利活用に向けた取組に対する支援等の在り方(同意によらない提供)
●民間の自主的取組み(PIA・責任者の設置)
●実効性のある監視・監督の在り方②(漏えい等報告及び本人通知の在り方)

今回も、議事概要の議論結果を参考に、スライドに沿って見ていきます

なお、出典の明記がないスライドは全て、表題の以下の資料が出典となります。

個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方) (PDF : 1139KB)


中間整理の検討項目(案)とここまでのまとめ

今回の公表は、2/21に公表された中間整理に向けた検討項目のうち、下の赤枠、となります。


これまでの議論

下スライドは、関係団体や委員意見の個人情報保護委員会による公式まとめに、今回の範囲に関する部分を赤線で囲いました

赤線部分、事業者からは、リスクベースアプローチで合理的な範囲に報告対象絞り込む等の意見があることがわかります。


それでは、今回の公表資料と議事概要を見ていきましょう。

漏えい等報告及び本人通知の在り方

1.漏えい等報告及び本人通知に係る現行の規律

はじめに、漏えい等報告の趣旨として、
委員会が事態を早急に把握し、必要な措置を講ずることができるようにすることであることの振り返りがされています。


次に、本人への通知の趣旨は、
通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること、としています。

漏えい報告は、
下図の①から⑨の項目であるものの、速報時点では、把握してる内容の報告で足りるとしています。

他方、「個人データ」が違法に第三者に提供された場合、漏えいには該当せず、委員会に対する報告及び本人通知の義務はないとしています。

この点、以下の通則GLもふまえると、こんな感じの使い分けになっていそうです。
「提供」:(自らの意図で)自己以外の者が利用可能な状態に置くこと
「漏えい」:個人データが外部に流出すること(自らの意図なし)

2.個人情報取扱事業者等における漏えい等報告の現状ー漏えい等報告の件数の推移

次に、年度別の漏えい等報告の件数が示され、改正法での義務化により、件数が増加しているとしています。


漏えい人数別の割合では、1000人以下が93.8%であり、
法で定められた4つの報告対象事態のうち、(1)〜(3)が多いことが示されています。

(1)要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
(3)不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等(又はそのおそれ) 
(4)個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)

漏えい等の対応とお役立ち資料


また、漏えい等の原因は、ヒューマンエラーが多く、不正アクセスによるものも一定程度存在することが示されています。


3.EUにおけるデータ侵害通知についてー通知の件数

一方、GDPRが適用されるEUにおいては、個人データ侵害発生時は、各加盟国のデータ保護当局に通知を行うことが義務づけられており、各件数が示されています。(日本より多い国も、少ない国もありますね)


GDPRの規律においては、監督機関への通知、データ主体(個人)への連絡がそれぞれ、以下のように定められているとしています。

●監督機関への通知:自然人の権利及び自由に対するリスクを発生させる恐れがない場合を除き、通知義務
データ主体(個人)への連絡:自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合

資料はここまでで、このテーマは、論点案等の公表はありませんでした。

委員の意見(議事概要)

次に、議事概要から意見を見てみましょう。

清水委員から
「漏えい等報告の目的は、当委員会が案件を早急に把握し、 必要な対応策を講ずることができるようにすることであるとされている。 この点、当委員会は、問題案件が発生した場合に、速やかに注意喚起等を発出して被害の拡大防止や再発防止を図ってきた。したがって、現行制度は有用であるが、一方で、事業者からは漏えい等報告の活用方法が不明であると いう指摘もあるため、これまでの漏えい等報告の分析結果を HP 等で公表し て事業者等と共有する仕組みを作ることが適切ではないか
一方で、漏えい 等報告を緩和する必要があるものの、本制度をこれまで有効に活用していたことに照らせば、骨抜きになるような報告及び本人通知義務の免除は不適切である。本人の数が一人である場合や認定個人情報保護団体に加入し ている場合での緩和は考えられるが、不正使用等の実害がないこと、漏えい した個人情報の本人が通常の通知を行わないことに異議を唱えないことの 2条件がクリアされた場合に限って、四半期や半年ごとの報告も許容され る可能性はある。また、速報フォームの簡素化も、検討要素の一つである」 旨の発言があった。

小川委員から
「漏えいした個人データのフォローアップについて、フィッシングメールに迷惑している方も多いのではないか。実際に、個人情報を入 力して犯罪に巻き込まれてしまう方もいると思う。企業からの個人情報漏 えいのプレスリリースでも、現時点では、個人情報の不正利用等は、確認していないという記載が多く見られる。ただ、公表や本人通知の実施後、ある程度の時間が経過すると、二次被害について言及されなくなってしまうことになるのではないか。フィッシングメールが送られてくる一般消費者からすると、その後のフォローアップがないと不安に感じる人もいるだろう。 これは名簿流出の危険性と同じで、自分の個人情報が含まれた名簿が漏えいしてどこで使われているかを不安に感じるのと同様である。そのため、例えば漏えい件数が極めて少ない場合は、漏えい等報告の義務を緩和する一 方で、大量流出した個人データのフォローも事業者が行うといった検討も 必要ではないか」という旨の発言があった。

藤原委員長から
「漏えい等報告及び本人通知に関し、事業者における漏えい等報告の件数は、令和元年度以降全体として増加傾向にある一方で、関係団体等からはこれらの義務が事業者の過度な負担になっている場面があるとの声も挙がっている。そこで、こうした御意見も踏まえつつ、委員会がこれまでに受けた漏えい等報告の内容を検証したうえで、制度の趣旨を損なわないようにしつつ、漏えい等報告及び本人通知の範囲・内容の合理化を検討すべきである。その際、委員会がこれまでに受けた漏えい等報告では、漏えい等した個人データに係る本人の数が少数であるケースが大半を占めて いること等を考慮することが考えられる。 また、事業者からは、いわゆる『おそれ』要件の明確化や、速報の緩和に ついても御要望いただいている。これらについて、具体的にどのような場面 で事業者に過度な負担が生じているのか、実態を明らかにしたうえで、検討 すべきである。これらの検討に当たっては、本日の委員からの意見も踏まえ ることが重要である。 加えて、現行法上、事業者が個人データを違法に第三者に提供した場合における、報告及び本人通知義務は存在しないが、個人データの漏えい発生時 に、事業者にこれらの義務が課されることとの均衡から、その必要性を検討 してはどうか。 特に御意見等ないようなので、今私から申し上げた内容も踏まえて事務 局において御検討いただきたい」旨の発言があった。

事業者からの要望が多い割に、委員の間の議論はあまり活発に行われていない印象です。(ちょっと残念…)


ただ、一旦の結論としては、他の論点に比べると比較的はっきりしており、
藤原委員長のまとめにあるように、
漏えい等報告及び本人通知の範囲・内容の合理化を検討すべき
その際、実態を明らかにしながら、以下にも着眼する
 ・本人の数が少数である場合
 ・おそれ要件の明確化
 ・速報の緩和

また、合わせて、

事業者が個人データを違法に第三者に提供した場合における事業者の義務について、漏えい時との均衡から必要性を検討

が既定路線ぽい、ことが伺えます。

所感

漏えい報告については、何らかの合理化の検討は行う前提で、具体的にどう手を入れるか、が論点になりそう…

ということで、実務上の独断と偏見で、
個人的な希望の大・小をあえてつけるなら?を考えてみました。

希望大
・おそれ:
外部からの不正アクセスは、フォレンジックなどの解析に時間が必要で、3−5日で完結しないことが多い。多分9割以上個人情報には影響ないと思われる場合もあり、こうした場合、不要の明確化を希望。
(一方、他社への攻撃も想定されるような場合、事柄の情報共有を、情報集約機関に行うことは是)


・個人データベースの一部であっても本人の権利利益に影響がない、少ない場合:
個人データの定義は、単に、名前、メアドという項目での識別に限らず、個人データベースの一部であれば、法令上、個人データとなる。
したがって、仮に、本人に到達することのない、男女や組織名だけといった情報だけが漏えいした場合に、本人通知を行っても本人にとって意味はないと思われる場合は不要の明確化を希望。



希望小
・速報のリードタイム:一般的なヒューマンエラー系原因の場合、迅速に知得できるようなプロセスを構築すれば、3−5日での報告はさほど負担でない(フォレンジック必要な場合を除く)

という感じですが、この点、業界や企業規模によっても負担感は異なりそうです。


例えば、調剤薬局などでは、通常業務で要配慮個人情報を扱うため、1件の誤渡し毎に報告が必要となり、負担が大きいと耳にします。

また、金融庁管轄の事業者は、四半期ごとの定期報告で良い範囲があるとも聞きます。


今後、年内の中間とりまとめから改正大綱までの間に、

・業種/業界の特性もふまえ、即時に個人情報保護委員会が把握すべきものを絞り込めないか?

・委員会が把握した後の「必要な措置」とは具体的に何で、社会にどう貢献するものなのか?

・正直者だけが馬鹿を見ることがないよう、報告しない事業者にどう対峙していくのか?

・本来、漏えい後だけでなく、未然に防ぐための取組が必要なところ、社会全体のガバナンスアーキテクチャをどう考えていくべきなのか?,etc…

建設的な議論が進んでいくと良いですね〜♪


それでは、また!

今日のDall-E3

データ漏えいに慌てる🐩、落ち着いて報告する🐩

この記事が気に入ったらサポートをしてみませんか?