執筆者：今村 敏

はじめに

コロナ禍により、在宅によるリモートでの業務遂行機会も増え、クラウドサービスに移行する企業が増加していることは、みなさまの体感としても実感できることなのではないかと思います。そのため、各企業におけるセキュリティ対策への関心はコロナ禍以前に比べて増加傾向にあるのではないかと思われます。

他方で、昨今相変わらず不正アクセス事案¹、例えば、フィッシング詐欺²等によって不正に取得されたIDやパスワードを用いられるといった事案は後をたたず、企業の重要な情報や、企業が有する個人情報が抜き取られ、漏えいする事案が報道されています³。企業において企業の営業上の秘密が漏えいすることはそれ自体も企業にとっての損害ですが、当該不正アクセスによって、自社で取り扱う個人情報が漏えいした場合、特に消費者（コンシューマー）向けサービスを展開している企業の場合には、当該漏えい事案によって評判や企業評価が下がり、企業経営上の大ダメージを受けることにも繋がり得ます。

不正アクセス事案において、一番悪いのは不正アクセス行為をする者であり、「不正アクセス行為の禁止等に関する法律」（平成11年法律第128号）により当然処罰の対象となり得るものです。そのため、不正アクセス事案は企業にとって、自社は被害者であるという意識が芽生えがちですが、不正アクセス事案においても、当局対応・利用者対応を誤った場合、当局より企業に対して行政上の処分が下される可能性もあるところです。

従前から不正アクセス事案も「個人データの漏えい」として扱われていたものの、個人データの漏えいについて、「個人情報の保護に関する法律」（平成15年法律第57号。以下「個情法」といいます。）における安全管理措置の問題（法第20条）として企業において管理体制に問題がなかったかという観点から捉えられ、事後的な個人データの漏えい報告は、法的には任意との位置付けでした（「個人データの漏えい等の事案が発生した場合等の対応について」（平成29年個人情報保護委員会告示第１号））。このため、漏えい報告の懈怠ということは法的には問題となりませんでした。

しかし、令和２年改正個情法⁴により、個人データの漏えいについての報告及び本人への通知が一部の類型で義務化されました。なお、不正アクセス事案については義務化された類型の一つとなっています。

当該改正事項は、欧州の一般データ保護規則（GDPR）におけるものほどのインパクトはないにしても日本国内において、近年公表に至る執行事案も増加傾向にあり、個人情報保護委員会が組織として人員を拡充しているため、今後個人データの漏えいに係る事案についてもより積極的な執行を実施してくることは予想されるところです。

そこで本稿では、令和４年４月１日に控えた令和２年改正個情法の施行の準備として、新たに開始される「個人データの漏えい報告」についてのルールの概要等を、現行の個情法の運用も参照しつつ、まだ未施行ですが、令和２年改正法、令和２年８月２日に公表された「個人情報保護に関する法律についてのガイドライン（通則編）」（以下「新ガイドライン（通則編）」といいます。）⁵及び令和２年９月10日に公表された「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」（以下「新Q&A」といいます。）⁶を参照して改めて確認したいと思います。

 

現行個人情報保護法の漏えい報告に関するルール

これまで個人情報保護法上は、漏えい報告が義務ではなく、漏えいが発生した場合の対応や個人情報保護委員会への報告については、「必要な措置を講ずることが望ましい」や、「速やかに報告するよう努める」との記載に止まっていました⁷。そのため、現行告示では、ホワイトリストの方式として、特に報告を要しない場合の例として、①「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」、②「FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」が明記されています。

 

改正個人情報保護法の漏えい報告に関するルール

（漏えい等の報告等） 第22条の２　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。 ２　前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

 

３.１　漏えい報告等概要

まず、令和２年法改正により漏えい等が発生し、個人の権利利益を害する恐れが大きい場合に、①委員会への報告、②本人への通知、が義務化されました（個情法第22条の２）。そして、令和２年法改正対応により、現行ガイドライン（通則編）が改訂され「新ガイドライン（通則編）」となり、漏えい対応に関する記載が追記⁸されました。それに伴い前述の告示は廃止される予定です⁹。なお、「新ガイドライン（通則編）」の記載は、従前の告示とは異なり「漏えい等事案の内容等に応じて……必要な措置を講じなければならない」や、規則で定める一定の事案（※）の場合には「個人情報保護委員会に報告しなければならない」として義務化の表現に修正されました。また、「現行Ｑ＆Ａ」も改訂され「新Ｑ＆Ａ」になり漏えい対応に関する記載に修正が見られるところです。

したがって、今後（令和２年改正施行日である、令和４年４月１日以降）の漏えい対応については、個情法22条の２の規定、「新ガイドライン（通則編）」及び「新Ｑ＆Ａ」で示された解釈に従って対応することが求められます。

なお、「報告対象事態に該当しない漏えい等事案であっても、個人情報取扱事業者は個人情報保護委員会に任意の報告をすることができる」¹⁰とされています¹¹。

 

※　漏えい報告が必要な事態

①　要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態（規則６条の２第１号）  ②　不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態（規則第６条の２第２号）  ③　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態（規則第６条の２第３号）  ④　個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態（規則６条の２第４号）

「報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになる。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの確証がない場合がこれに該当する」とされています。

 

３.１.１　報告義務の主体

「新ガイドライン（通則編）」は、報告義務の主体について、「漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負うため委託元及び委託先の連名で報告することができる。」¹²としています。

他方で、「新Q&A」では、委託先の報告義務の点について、「委託元から個人データの取扱いの委託を受けている場合において、委託元において報告対象となる個人データの漏えい等が発生した場合、委託先は報告義務を負いますか。」との質問に、「委託先が取り扱う個人データの漏えい等が生じていないことから、委託先は報告義務を負わないと考えられます。」¹³との回答がなされており、ガイドラインの記載と少し異なるニュアンスを含んでいるとも思われます¹⁴。

もっとも、委託先で漏えいが発生した場合については、これまでも運用・解釈の積み上げがあり、今回の改正によって新たな解釈が述べられたものではないと考えられます。この点現行Q&Aでも「委託先において漏えい等事案が発生した場合であっても、委託元が漏えい等事案に係る個人データ又は加工方法等情報について最終的な責任を有することに変わりありませんので、原則として、委託元が個人情報保護委員会等へ報告するよう努めていただきます。ただし、漏えい等事案に係る個人データ又は加工方法等情報の実際の取扱状況を知る委託先が報告の内容を作成したり、委託元及び委託先の連名で報告するといったことが妨げられるものではありません。」¹⁵とされており、全体としてはこれまでを踏襲しており、委託先で漏えい等が発生した場合には、基本的には委託元が漏えい報告義務を負い、委託先との連名で報告を提出することも可能であるということかと思います。

なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されると明示的に規定も設けられているところです（個情法第22条の２第１項但書）。

 

３.１.２　速報・確報

個人情報取扱事業者は、報告義務のある個人データの漏えいの事態を知ったとき、速やかに、個人情報保護委員会（または、第44条第１項の規定により報告を受理する権限を事業所所管大臣に委任している場合は、当該大臣¹⁶）に報告しなければなりません。ここで「知った」時点については、事業者側からすると、実際に漏えい対応を実施する法務やセキュリティ対策の部署等が知った場合ではないかと思われるところですが、当該事業者において「いずれかの部署が当該事態を知った時点を基準とする」¹⁷とされ、より具体的には「個別の事案ごとに判断されますが、部署内のある従業員が報告対象事態を知った時点で「部署が知った」と考えられます」¹⁸とされています。そして、「速やかに」の目安は概ね３日から５日とされています。

このため、例えば営業や現場の人間が漏えいの事実を知ったにも関わらず、正しく情報共有が社内においてなされず、時間だけが経過してしまい社内での情報共有及び当局への報告が遅れてしまうと、そのことを持ってなんらかの指導や処分を当局より受ける恐れがありますし、また企業内で情報共有を迅速にできていない結果、被害拡大を適切に防止できない可能性もあり得ます。

このため、企業内において、漏えい等のインシデント対応のマニュアル等は事前に作成しておく必要があり、責任者への情報のエスカレーション等のルールを明確化しておく必要があります。

なお、漏えい報告については、

(1) 概要 (2) 漏えい等が発生し、又は発生したおそれがある個人データの項目 (3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数 (4) 原因 (5) 二次被害又はそのおそれの有無及びその内容 (6) 本人への対応の実施状況 (7) 公表の実施状況 (8) 再発防止のための措置 (9) その他参考となる事項

の事項等が報告対象として求められますが、この点については現行の漏えい報告のフォーマットと大きく変更はないため、従前のフォーマットが基本的には踏襲されるものと思われます。

速報の段階では、その時点において把握している内容を報告すれば足りるとされています。そして、速報に加えて、30日以内（規則第6条の２第３号に該当する場合（例えば不正アクセス等のセキュリテイ事案）については60日以内）に上記事項を全て記載した確報を報告しなければなりません。

 

３.２　本人への通知

今回、漏えい報告が義務となっている事案に該当する場合には、本人への通知も義務付けられました。もっとも、その通知のタイミングについては、「当該事態の状況に応じて速やかに」とされています。これは、個別の事案において、その時点で把握している事態の内容を報告することでかえって混乱を招き被害が拡大しかねない場合などが想定されています。例えば「インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合」としてガイドラインでは例示されているところです。

通知の内容については、前述の漏えい報告と異なり、本人への通知は「本人の権利利益を保護するために必要な範囲において」行うものであるため、漏えい等の報告事項の全てではなく、

(1) 概要 (2) 漏えい等が発生し、又は発生したおそれがある個人データの項目 (4) 原因 (5) 二次被害又はそのおそれの有無及びその内容 (9) その他参考となる事項

が通知事項として想定されています。

通知の方法については、「事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければならない」とされ、本人にとってわかりやすい形での通知を行うことが望ましいとして、郵便による文書通知や電子メールでの通知が例示されております。サービスによっては本人の住所や電子メールアドレスを把握していないものも存在するため、その場合は、例えばアプリ上のサービスであれば当該アプリを通じて何らか通知するなど、「事業の性質及び個人データの取扱状況」に応じた対応が求められるところです。そして、本人へ直接通知することが困難な場合には、通知の代替措置として、事案を公表することや問い合わせ窓口等による対応も認められています。

 

個人情報保護委員会等による執行監督権限

個人情報保護委員会は、個人データの漏えいに関する事態を把握した場合にとり得る権限として、報告及び立入検査（個情法第40条）、指導及び助言（個情法第41条）、勧告及び命令（個情法第42条）があります。個人データの漏えい事案については従前は安全管理措置に問題がないかとの観点より判断がなされていましたが、令和２年改正により漏洩報告義務の不履行や本人への通知義務の不履行でも執行監督権限が行使され得ることとなりました。また、命令違反等についての法人に対する罰金刑の上限については従前の50万円から最大１億円（個情法第87条、第83条、第84条、第42条第２項、第３項）になりました。

顧客情報等の個人データの漏えいに関して、欧米の執行は非常に厳しい対応をとっています。例えば、欧州の個人情報保護法である一般データ保護規則（GDPR）では、英国当局が、ブリティッシュ・エアウェイズの漏えいに対して約270億円の制裁金命令を発出し、マリオット・インターナショナルの漏えいに対して約150億円の制裁金命令を発出しています（それぞれ後の対応で制裁金軽減。）。また、米国当局（FTC）は、エクイファクスの漏えいに対して約770億円の制裁金合意をするなどしています。

 

最後に

漏えい報告の対応等については、すでに何らかの準備をしている企業も一定程度は存在するのではないかと思われますが、これまで報告が義務ではなく任意であったため、当局への報告は行わずに新聞等にリーク記事を書かれてしまい当局より報告を求められるようなケースも一定程度存在したのではないかと思われます。

漏えい事案については、企業の評判を下げうるものであるため、秘密裏かつ穏便に事態を終息させたいという経営層の考えも理解できる部分ではありますが、初動対応を過った結果により大きなダメージにつながるといった事態はこれまでもあったところです。

今回の改正により報告義務と本人への通知義務が導入されるため、企業の説明責任はこれまでよりも一層求められているといえます。漏えいの事態は発生しないに越したことはありませんが、発生した場合に備えて事前にきちんとプライバシーガバナンスの一部として漏えい報告対応のルールを作っておき、いざ発生した場合には、適切な対応を実施することで被害を最小限に止め、当局対応、消費者に対する説明責任を果たすことにより企業の評価の低下を防止し、自浄機能が適切に働く企業であるとしてクリーンなイメージの企業戦略をとっていくことが重要であると考えます。

また、日本の個人情報保護委員会は、国際協調を重視しているところです。欧米における漏えい事案に対する高額の執行案件を一部紹介いたしましたが、今後これらの流れを受けて日本国内の執行が強化されることは確実ではないかと思われ、現時点において個人情報保護法は、課徴金等の枠組みは改正においても導入予定はありませんが、今後高額執行が可能となる枠組みが設けられることも容易に想像されるところです。

今回令和２年個人情報保護法改正のうち、漏えい対応に係る部分の概説をさせていただきました。国際的な動向も踏まえると、各事業者において、十分な漏えい対策を講じることは急務であるといえます。プライバシーガバナンスのシステム作り、漏えい対応のガバナンス構築を検討されている事業者のみなさま、また、不正アクセス等を受けて個人データを漏えいしてしまった事業者のみなさま、いずれも当事務所でサポートさせていただきますので、ご気軽にご相談くださればと思います。

 

以上

 

---

 

1. 不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。（総務省「国民のための情報セキュリティサイト」）
2. フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報（ユーザID、パスワードなど）といった重要な個人情報を盗み出す行為のことを言います。（総務省「国民のための情報セキュリティサイト」）
3. 例えば、2021年９月11日に、日経電子版において「不正アクセス」をキーワード検索にかけたところ、直近のもので、①同年９月９日「愛知県がんセンター　不正アクセスで患者情報流出か」、②同年９月７日「警察庁の情報流出も判明　富士通不正アクセス問題」、③同年８月23日「個人情報漏洩の企業責任、甘さ目立つ日本　対策遅れも」
4. 個人情報の保護に関する法律等の一部を改正する法律
5. 現行のものについては「現行ガイドライン（通則編）」といいます。
6. 現行のものについては「現行Q&A」といいます。
7. 個人データの漏えい等の事案が発生した場合等の対応について（平成 29 年個人情報保護委員会告示第1号）
8. 新ガイドライン（通則編）「3−5　個人データの漏えい等の報告等」
9. 「「個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示案」に関する意見募集結果」85番
10. 新ガイドライン（通則編）「3-5-3-1　報告対象となる事態」
11. 「現行Ｑ＆Ａ　Ｑ12-８」では「漏えい等事案に係る個人データ又は加工方法等情報の件数が膨大であるなど社会的影響が大きいと考えられる事案の場合には、個人情報保護委員会等への報告を行うことが望ましいと考えられます。」とされていたところ、「新Ｑ＆Ａ　Ｑ６-15」では、報告を行うことは可能であるとした上で「この場合、報告書の様式における「規則第６条の２各号該当性」については、「非該当（上記に該当しない場合の報告）」として報告を行うことになります。」とされ記載に修正が見られますが、現行で示されている考え方を否定する趣旨ではないと思われます。
12. 「新ガイドライン（通則編）　3-5-3-2 報告義務の主体」
13. 「新Ｑ＆Ａ　Ｑ６-18」
14. クラウドサービスと委託の関係に関する議論は従前よりなされていたところ、クラウドサービス提供事業者が「個人データを取り扱う」か否かというこれまでの議論を踏襲し、漏えい報告におけるクラウドサービスとの関係についても、「クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービス提供事業者は、法第 22 条の２第１ 項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。」（「新Ｑ＆Ａ　Ｑ６-19」）とされています。
15. 「現行Ｑ＆Ａ　Ｑ12-９」
16. 例えば、電気通信事業における漏えいの場合には、総務大臣が法的な提出先となり、実際には、各エリアを所管する総合通信局への提出となるため、東京本社企業における漏洩の場合には関東総合通信局への提出となります。
17. 「新ガイドライン（通則編）　3-5-3-3 速報（規則第６条の３ 第１項関係）」
18. 「新Ｑ＆Ａ　Ｑ６-21」