昨今、企業における個人情報保護の要請は益々高まってきており、個人情報漏えい事故を起こしてしまった場合には、民事上の損害賠償責任を負ったり、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)に基づく個人情報保護委員会からの勧告や罰則を受ける可能性があるほか、企業の社会的信用やイメージが低下し、顧客離れや取引停止などの影響が生じるおそれもあります。
本コラムでは、万が一、企業が個人情報漏えい事故を起こしてしまった場合に求められる適切な対応方法について解説します。
【目次】
1 個人情報保護法の適用を受ける企業
2 個人データの漏えい等とは
3 個人データの漏えい等が発生した場合の対応
4 顧問契約に関する当事務所の弁護士費用
5 おわりに
1 個人情報保護法の適用を受ける企業
個人情報を含む情報の集合物であり、特定の個人情報を電子計算機(コンピュータ)を用いて検索することができるように体系的に構成したものを「個人情報データベース等」といい(個人情報保護法第16条第1項第1号)、「個人情報データベース等」を構成する個々のデータを「個人データ」といいます(同条第3項)。
「個人情報データベース等」を事業の用に供している者を「個人情報取扱事業者」といい、個人情報保護法の適用を受けることになります(同条第2項)。
ここでいう個人情報は、顧客の個人情報に限られるものではなく、従業員の個人情報も含みますので、それらを検索可能なデータにしている企業は、全て「個人情報取扱事業者」に該当します。
2 個人データの漏えい等とは
個人データの「漏えい等」は、「漏えい」「滅失」「毀損」の3つからなります。
⑴ 「漏えい」は、個人データが外部に流出することです。メールの誤送信や郵便の誤送付が典型例です。
なお、第三者に閲覧される前に回収した場合は漏えいには該当しません。
⑵ 「滅失」は、個人データの内容が失われることです。社内での誤廃棄が典型例です。
なお、同じ内容のデータが社内の別の場所に保管されている場合は、滅失には該当しません。
⑶ 「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることです。内容の改ざんが典型例です。
なお、毀損前と同じ内容のデータが社内の別の場所に保管されている場合は、毀損には該当しません。
3 個人データの漏えい等が発生した場合の対応
個人データの漏えい等が発生したことが判明した場合、企業は、次の対応をする必要があります。
⑴ 事業者内部における報告及び被害の拡大の防止
個人データの漏えい等の発生を認識した場合には、事業者内部において、責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じなければなりません。
⑵ 事実関係の調査及び原因の究明
事実関係を調査して、漏えい等した個人データの範囲を特定するとともに、原因を究明するための必要な措置を講じなければなりません。
⑶ 影響範囲の特定
⑵で把握した事実関係による影響範囲の特定のために必要な措置を講じなければなりません。
⑷ 再発防止策の検討及び実施
漏えい等の原因を踏まえて、漏えい等事案の再発防止策の検討及び実施に必要な措置を講じなければなりません。
⑸ 個人情報保護委員会への報告及び本人への通知
個人情報保護委員会規則で定める重要な個人データの漏えい等が発生した場合には、個人情報保護委員会に報告するとともに、本人への通知をしなければなりません(個人情報保護法第26条)。
ア 報告・通知の対象となる事態個人データが漏えい等した場合、個人情報の保護に関する法律施行規則(以下「規則」といいます。)第7条に定める類型に該当すれば、個人情報保護委員会への報告及び本人への通知をしなければなりません。
① 要配慮個人情報が含まれる個人データの漏えい等(例えば、従業員の健康診断結果が漏えいした場合、病院における患者の診療情報を記録したUSBメモリを紛失した場合など)
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(例えば、クレジットカードの番号を漏えいした場合など)
③ 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等(例えば、不正アクセスや従業員による情報の持ち出しなど)
④ 個人データに係る本人の数が1000人を超える漏えい等(例えば、システム設定ミスによりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1000人を超える場合など)
イ 個人情報保護委員会への報告 個人情報保護委員会への報告は、速報(規則第8条第1項)と確報(規則第8条第2項)の2段階で行う必要があり、その期限や報告様式が厳格に定められています。 個人情報取扱事業者は、報告対象事態を知った後、速やかに(3~5日以内。土日・祝日も含みます。)行わなければなりません。これを「速報」といいます。 個人情報保護委員会のWebサイトにおいて、報告用のフォームが公開されています。(https://www.ppc.go.jp/personalinfo/legal/leakAction/)
報告すべき事項は次の①~⑨の事項です。
① 概要
② 漏えい等が発生し、又は発生したおそれがある個人データの項目
③ 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
④ 原因
⑤ 二次被害又はそのおそれの有無及びその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置
⑨ その他参考となる事項
速報段階では、その時点で把握している範囲で報告すれば足ります。
個人情報取扱事業者は、報告対象事態を知ったときは、速報に加え、原則として30日以内に個人情報保護委員会に上記①~⑨の全てを報告しなければなりません。これを「確報」といいます。
なお、確報を行う時点で、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明し次第、報告を追完することになります。
ウ 本人への通知
〇 通知の時期(規則第10条)
本人通知は、当該事態の状況に応じて速やかにしなければなりません。その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断します。
例えば、漏えい事案が発生したものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護する措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合は、本人への通知は不要と考えられます。
〇 通知すべき事項(規則第10条)
本人に通知すべき事項は
① 概要
② 漏えい等が発生し、又は発生したおそれがある個人データの項目
③ 原因
④ 二次被害又はそのおそれの有無及びその内容
⑤ その他参考となる事項
に限られています。これらの事項が全て判明するまで本人への通知をする必要がないというものではなく、本人への通知は、当該事態の状況に応じて速やかに行う必要があります。
〇 通知の方法
本人通知は、本人に直接知らしめることをいい、通知すべき内容が本人に認識される合理的かつ適切な方法でなければなりませんが、通知の具体的な手段は事業者に委ねられています。
〇 通知が不要となる場合
本人に対して通知をすることが困難である場合には、本人通知を行わずに、本人の利益を保護するために必要な代替措置を講じることで足ります(個人情報保護法第26条第2項ただし書)。
本人に対して通知をすることが困難である場合とは、保有する個人データの中に本人の連絡先が含まれておらず、本人と連絡できない場合などです。
○ 代替措置の内容
代替措置の内容は事業者に委ねられていますが、事案の公表や問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが漏えい等の対象となっているか否か確認できるようにすることなどが挙げられます。
4 企業顧問契約に関する当事務所の弁護士費用
企業顧問に関する当事務所の弁護士費用は、以下のリンクからご確認いただけます。
具体的な個人情報漏えい事故対応を弁護士が実施する場合は、一般の顧問料に対応規模に応じた別途の費用を頂戴し、実施することとなります。
https://kl-o.jp/corporateadvisor/#companycost
5 おわりに
個人情報の漏えい対応は、1つ間違うと企業の存続にも影響しかねない重要な問題ですので、正確な法的知識の下、適切に対応することが必要です。
また、そもそも個人情報漏えいを生じさせないような安全管理措置を講じることも不可欠です。
当事務所では、企業顧問において、個人情報保護に関する安全管理措置の構築、社内ルールの整備等についてもサポートさせていただきますので、お困りの場合は、まずはお気軽に弁護士にお問い合わせください。
お電話でのお問い合わせ
平日9時~18時で弁護士が電話対応
※初回ご来所相談30分無料
☎︎ 03-5875-6124
