漏えい等が発生してしまったら~中小企業と個人情報保護法7

弁護士 横溝 昇

 個人情報保護委員会が公表しているガイドラインには、漏えい等の対応については別に定めるとされており、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)が定められています。

 いろいろと対策しても、漏えい等が起きる確率、可能性は0にはなりません。どうしても起きてしまうときはあります。起きてしまったときに、どのような対応をとるべきか、事前にマニュアル等を作成しておくことも大事です。何もない状態から迅速かつ適切な対応をすることは困難です。

 ガイドラインの安全管理措置としてとるべき組織的安全管理措置の一つに「漏えい等の事案に対応する体制の整備」が挙げられています。  

漏えい等とは

 告示が対象としている事案は、

(1)個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
(2)個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)第20条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい
(3)上記(1)又は(2)のおそれ

とされており、加工方法等情報を取り扱っていなければ、「個人データ」の漏えい滅失又は毀損これらのおそれが発生したと覚えておけばよいでしょう。

執るべき措置

 告示は、以下の6つの事項について必要な措置をとることが望ましいとしています。

(1)事業者内部における報告及び被害の拡大防止
 責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
(2)事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3)影響範囲の特定
上記(2)で把握した事実関係による影響の範囲を特定する。
(4)再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
(5)影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6)事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。

  そして、その事実関係及び再発防止策等について、個人情報保護委員会に報告するよう努めることとされています。

(1)事業者内部における報告及び被害の拡大防止

 事前に、漏えい等が発生した場合に、誰に報告をするのか、報告経路を定めておくことが必要です。それに従って、速やかに報告をしてもらいます。

 また、パソコンにウイルス等の不正なプログラムへの感染が疑われる場合には、物理的にLANケーブルを取り外すことや、インターネットだけでなく社内のネットワークからも切り離すことが必要でしょう。

(2)事実関係の調査及び原因の究明

 関係者からの聴き取りを行い、また専門業者への依頼が必要な場合もあるでしょう。

(3)影響範囲の特定

告示のQ&Aには、

 事案の内容によりますが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。

とされています。

(4)再発防止策の検討及び実施

  把握した原因をもとに、安全管理措置のそれぞれの観点から取り扱いの手順、規程の見直しなどを検討したうえで、防止策に従って取り扱いを行うことになるでしょう。

(5)影響を受ける可能性のある本人への連絡等

(6)事実関係及び再発防止策等の公表

 事案の内容等に応じて、本人に連絡をしたり、本人が見ることができるホームページへの掲載や専用窓口を設置して連絡を受ける方策をとることを考える必要があるでしょう。

 Q&Aには、

 第三者に閲覧されることなく速やかに回収した場合、高度な暗号化等の秘匿化がされている場合、漏えい等をした事業者以外では特定の個人を識別することができない場合であって本人に被害が生じるおそれがない場合など、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等や公表を省略することも考えられます。
 公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し控え、専門機関等に相談することも考えられます。また、漏えい等事案の影響を受ける可能性のある本人全てに連絡がついた場合に公表を省略することも考えられます。

とされており、本人への連絡等や公表をすることが適切な事案かどうかを様々な面から検討する必要があると考えます。

個人情報保護委員会への報告

 漏えい等事案が発生した場合、個人情報保護委員会に報告するよう努めることとされていますが、報告先が事業所管大臣又は認定個人情報保護団体となる場合があります。保険業や電気通信事業等がこれに該当します。個人情報保護委員会のWebサイトには、報告を行うためのフォームが用意されています。

また、報告を要しない場合として、①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合(高度な暗号等の秘匿化がされている場合、第三者が閲覧されないうちにすべてを回収した場合等)、②FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合(宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合)が挙げられています。

参考

 個人情報保護委員会Webサイト

  漏えい等の対応(個人情報)

      法令・ガイドライン等

※ 令和2年改正により、漏えい等の発生により、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知が義務化されることなりました。令和4年6月までに施行される予定です。


 


いいなと思ったら応援しよう!