第26条 漏えい等の報告義務 に関するガイドライン整理
3-5 個人データの漏えい等の報告等(法第26条関係)*1
3-5-1 「漏えい等」の考え方
3-5-1-1 「漏えい」の考え方
個人データの「漏えい」とは、個人データが外部に流出することをいう。
- 【個人データの漏えいに該当する事例】
- 事例1)個人データが記載された書類を第三者に誤送付した場合
- 事例2)個人データを含むメールを第三者に誤送信した場合
- 事例3)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
- 事例4)個人データが記載又は記録された書類・媒体等が盗難された場合
- 事例5)不正アクセス等により第三者に個人データを含む情報が窃取された場合
なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合(※)は、漏えいに該当しない。
(※)個人情報取扱事業者は、個人データの第三者への提供に当たり、原則としてあらかじめ本人の同意を取得する必要がある。
通則編Q6-1:個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか。
通則編A6-1:次のような事例が考えられます。
通則編Q6-2:個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えいに該当しますか。
通則編A6-2:個別の事例ごとに判断することとなりますが、個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えい(又は漏えいのおそれ)に該当すると考えられます。なお、社内で紛失したままである場合には、滅失(又は滅失のおそれ)に該当すると考えられます。
3-5-1-2 「滅失」の考え方
個人データの「滅失」とは、個人データの内容が失われることをいう。
- 【個人データの滅失に該当する事例】
- 事例1)個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合(※1)
- 事例2)個人データが記載又は記録された書類・媒体等を社内で紛失した場合(※2)
なお、上記の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しない。また、個人情報取扱事業者が合理的な理由により個人データを削除する場合は、滅失に該当しない。
- (※1)当該帳票等が適切に廃棄されていない場合には、個人データの漏えいに該当する場合がある。
- (※2)社外に流出した場合には、個人データの漏えいに該当する。
3-5-1-3 「毀損」の考え方
個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。
- 【個人データの毀損に該当する事例】
- 事例1)個人データの内容が改ざんされた場合
- 事例2)暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
- 事例3)ランサムウェア等により個人データが暗号化され、復元できなくなった場合(※)
なお、上記事例2)及び事例3)の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しない。
(※)同時に個人データが窃取された場合には、個人データの漏えいにも該当する。
3-5-2 漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発覚した場合は、漏えい等事案の内容等に応じて、次の(1)から(5)に掲げる事項について必要な措置を講じなければならない。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時
よりも拡大しないよう必要な措置を講ずる。
通則編Q6-3:ガイドライン(通則編)3-5-2の「漏えい等事案が発覚した場合に講ずべき措置」の「(1)事業者内部における報告及び被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。
通則編A6-3:「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。
通則編Q6-4:ガイドライン(通則編)3-5-2の「漏えい等事案が発覚した場合に講ずべき措置」の「(1)事業者内部における報告及び被害の拡大防止」にある「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる」とは、具体的には、どのような対応をとることが考えられますか。
通則編A6-4:例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行う又は無線の無効化を行うなどの措置を直ちに行うこと等が考えられます。
(2)事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3)影響範囲の特定
上記(2)で把握した事実関係による影響範囲の特定のために必要な措置を講ず
る。
通則編Q6-5:ガイドライン(通則編)3-5-2の「漏えい等事案が発覚した場合に講ずべき措置」の「(3)影響範囲の特定」にある「把握した事実関係による影響範囲の特定のために必要な措置を講ずる」とは、どういうことですか。
通則編A6-5:事案の内容によりますが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした原因、漏えい先等を踏まえ、影響の範囲を特定することが考えられます。
(4)再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な
措置を講ずる。
(5)個人情報保護委員会への報告及び本人への通知
3-5-3(個人情報保護委員会への報告)、3-5-4(本人への通知)を参照のこと。なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。
3-5-3 個人情報保護委員会への報告(法第26条第1項関係)
3-5-3-1 報告対象となる事態
- 法第26条(第1項)
- 規則第7条
- 法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
- 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第1項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第1項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
通則編Q6-6:本人が第三者の作成した個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)にアクセスし、当該個人情報取扱事業者が取り扱う個人データと同じ内容の情報(ID やパスワード等)を入力した場合、報告対象となりますか。また、偽装したウェブサイトに本人が入力した当該情報を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合、報告対象となりますか。
通則編A6-6:本人が第三者に個人情報取扱事業者の取り扱う個人データと同じ内容の情報を詐取されたのみでは、第三者に当該個人情報取扱事業者の取り扱う個人データが漏えいしていないことから、当該個人情報取扱事業者による報告対象にならないと考えられます。
なお、正規のウェブサイトを運営する個人情報取扱事業者においても、本人が個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があると考えられます。
ただし、個別の事案ごとに判断されるものの、偽装したウェブサイトに本人が入力した個人情報取扱事業者が取り扱う個人データと同じ内容の情報(ID やパスワード等)を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合には、一般的には、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」が生じたものとして、報告対象となると考えられます。
(令和5年3月更新)
個人情報取扱事業者は、次の(1)から(4)までに掲げる事態(以下「報告対象事態」という。)を知ったときは、個人情報保護委員会に報告しなければならない(※1)(※2)。
通則編Q6-8:取り扱う個人データの一部が漏えいし、当該漏えいした個人データによっては第三者が特定の個人を識別することができない場合でも、報告対象となりますか。
通則編A6‐8:漏えい等した情報が個人データに該当するかどうかは、当該個人データを漏えい等した個人情報取扱事業者を基準に判断するため、報告対象事態に該当すれば、報告が必要となります。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第1号関係)
- 【報告を要する事例】
- 事例1)病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 事例2)従業員の健康診断等の結果を含む個人データが漏えいした場合
通則編Q6-7:医療機関において、健康診断等の結果を誤って本人以外の者に交付した場合には、報告対象となりますか。
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第2号関係)
財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断する。
- 【報告を要する事例】
- 事例1)ECサイトからクレジットカード番号を含む個人データが漏えいした場合
- 事例2)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
通則編Q6-9:個人データである住所、電話番号、メールアドレス、SNSアカウントが漏えいした場合、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)に該当しますか。
通則編A6‐9:「不正に利用されることにより財産的被害が生じるおそれがある」(施行規則第7条第2号)とは、漏えい等した個人データを利用し、本人になりすまして財産の処分が行われる場合が想定されています。そのため、住所、電話番号、メールアドレス、SNSアカウントといった個人データのみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。
通則編Q6-10:個人データであるクレジットカード番号のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)に該当しますか。
通則編A6-10:個人データであるクレジットカード番号のみの漏えいでも、暗証番号やセキュリティコードが割り出されるおそれがあるため、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、個人データであるクレジットカード番号の下4桁のみとその有効期限の組合せが漏えいした場合は、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。
通則編Q6-11:クレジットカード又はデビッドカードを誤って第三者に郵送した場合、報告対象となりますか。
通則編A6-11:クレジットカード又はデビットカードを誤って第三者に郵送した場合、当該カードを発行した個人情報取扱事業者において、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、クレジットカード又はデビッドカードが同封された郵便物が未開封のまま回収された場合には、通常、漏えいに該当せず、報告対象となりません。
通則編Q6‐12:個人データである銀行口座情報(金融機関名、支店名、預金種別、口座番号、口座名義等)のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)に該当しますか。)
通則編A6-12:個人データである銀行口座情報のみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。なお、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏えいした場合には、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。
通則編Q6-13:「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)について、漏えい等が生じた後に講じた措置によって財産的被害が生じるおそれがなくなった場合でも報告対象となりますか。
通則編A6-13:漏えい等事案を知った時点において、財産的被害が生じるおそれがある場合には、その後の被害防止措置により財産的被害が生じるおそれがなくなったとしても、報告対象となると考えられます。
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第3号関係)
「不正の目的をもって」漏えい等を発生させた主体には、第三者のみならず、従業者も含まれる。
- 【報告を要する事例】
- 事例1)不正アクセスにより個人データが漏えいした場合(※3)
- 事例2)ランサムウェア等により個人データが暗号化され、復元できなくなった場合
- 事例3)個人データが記載又は記録された書類・媒体等が盗難された場合
- 事例4)従業者が顧客の個人データを不正に持ち出して第三者に提供した場合(※4)
(4)個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(規則第7条第4号関係)
「個人データに係る本人の数」は、当該個人情報取扱事業者が取り扱う個人データのうち、漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数をいう。「個人データに係る本人の数」について、事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で規則第7条第4号に該当することになる。本人の数が確定できない漏えい等において、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、規則第7条第4号に該当する。
事例)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合
-
通則編Q6-15:報告対象事態に該当しない場合であっても、個人情報保護委員会等への報告を行うことは可能ですか。
通則編A6-15:可能です。この場合、報告書の様式における「規則第7条各号該当性」については、「非該当(上記に該当しない場合の報告)」として報告を行うことになります。
- (※2) 報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになる。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する。
- (※3)サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、次の(ア)から(エ)が考えられる。
通則編Q6‐14:ガイドライン(通則編)3-5-3-1の「(※3)(イ)」に「個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合」とありますが、個人データを格納しているサーバにおいてマルウェアを検知した場合には、漏えいのおそれがあると判断されますか。
通則編A6‐14:ガイドライン(通則編)3-5-3-1(※3)は、漏えいが発生したおそれがある事態に該当し得る事例を示したものであり、単にマルウェアを検知したことをもって直ちに漏えいのおそれがあると判断するものではなく、防御システムによるマルウェアの実行抑制の状況、外部通信の遮断状況等についても考慮することになります。
- (※4)従業者による個人データの持ち出しの事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
通則編Q6-16:「漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」とは、どのような場合が該当しますか。
通則編A6‐16:報告を要しない「漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等が発生し、又は発生したおそれがある個人データについて、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。
第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。
また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます。
通則編Q6-17:「テンプレート保護技術(暗号化等の技術的措置を講じた生体情報を復号することなく本人認証に用いる技術)を施した個人識別符号が漏えいした場合も、報告対象となりますか。
通則編A6-17:テンプレート保護技術を施した個人識別符号について、高度な暗号化等の秘匿化(Q6-16参照)がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実を直ちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータを直ちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」を講じていることになるため、報告は不要と考えられます。
3-5-3-2 報告義務の主体
漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される(3-5-3-5(委託元への通知による例外)参照)。
また、委託元から委託先にある個人データ(個人データA)の取扱いを委託している場合であって、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、委託元において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになる。
3-5-3-3 速報(規則第8条第1項関係)
個人情報取扱事業者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければならない。個人情報保護委員会が法第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告する。事業所管大臣に報告する場合、報告期限は個人情報保護委員会に報告する場合と同様である。
報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されるが、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とする。「速やか」の日数の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内である。
個人情報保護委員会への漏えい等報告については、次の(1)から(9)までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りる。
- 「概要」
当該事態の概要について、発生日、発覚日、発生事案、発見者、規則第7条各号該当性、委託元及び委託先の有無、事実経過等を報告する。
- 「漏えい等が発生し、又は発生したおそれがある個人データの項目」
漏えい等が発生し、又は発生したおそれがある個人データの項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
- 「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数について報告する。
- 「原因」
当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。
- 「二次被害又はそのおそれの有無及びその内容」
当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。
- 「本人への対応の実施状況」
当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
- 「公表の実施状況」
当該事態に関する公表の実施状況について報告する。
- 「再発防止のための措置」
漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
- 「その他参考となる事項」
上記の(1)から(8)までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。
3-5-3-4 確報(規則第8条第2項関係)
- 規則第8条(第2項)
- 前項の場合において、個人情報取扱事業者は、当該事態を知った日から30日以内(当該事態が前条第3号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。
個人情報取扱事業者は、報告対象事態を知ったときは、速報に加え(※1)、30日以内(規則第7条第3号の事態においては60日以内。同号の事態に加え、同条第1号、第2号又は第4号の事態にも該当する場合も60日以内。)に個人情報保護委員会(個人情報保護委員会が法第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)に報告しなければならない。30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましい。
報告期限の起算点となる「知った」時点については、速報と同様に、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定(※2)に当たっては、その時点を1日目とする。
確報においては、3-5-3-3(1)から(9)までに掲げる事項の全てを報告しなければならない。確報を行う時点(報告対象事態を知った日から30日以内又は60日以内)において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとする。
- (※1) 速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる。
- (※2) 確報の報告期限(30日以内又は60日以内)の算定に当たっては、土日・祝日も含める。ただし、30日目又は60日目が土日、祝日又は年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とする(行政機関の休日に関する法律(昭和63年法律第91号)第2条)。
3-5-3-5 委託元への通知による例外(規則第9条関係)
- 規則第9条
- 個人情報取扱事業者は、法第26条第1項ただし書の規定による通知をする場合には、第7条各号に定める事態を知った後、速やかに、前条第1項各号に定める事項を通知しなければならない。
委託先は、個人情報保護委員会(個人情報保護委員会が法第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)への報告義務を負っている委託元に対し、3-5-3-3(1)から(9)までに掲げる事項のうち、その時点で把握しているものを通知したときは、報告義務を免除される。委託元への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければならない。「速やか」の日数の目安については、個別の事案によるものの、委託先が当該事態の発生を知った時点から概ね3~5日以内である。
この場合、委託先から通知を受けた委託元が報告をすることになる。委託元は、通常、遅くとも委託先から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければならない。
なお、通知を行った委託先は、委託元から報告するに当たり、事態の把握を行うとともに、必要に応じて委託元の漏えい等報告に協力することが求められる。
3-5-4 本人への通知(法第26条第2項関係)
- 法第26条(第2項)
- 規則第10条
- 個人情報取扱事業者は、法第26条第2項本文の規定による通知をする場合には、第7条各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第8条第1項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。
3-5-4-1 通知対象となる事態及び通知義務の主体
個人情報取扱事業者は、報告対象事態を知ったときは、本人への通知を行わなければならない。
通知義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。
個人データの取扱いを委託している場合において、委託先が、報告義務を負っている委託元に3-5-3-3(1)から(9)までに掲げる事項のうち、その時点で把握しているものを通知したときは、委託先は報告義務を免除されるとともに、本人への通知義務も免除される。
3-5-4-2 通知の時間的制限
個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければならない。
「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断する。
- 【その時点で通知を行う必要があるとはいえないと考えられる事例(※)】
- 事例1)インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合
- 事例2)漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合
(※)「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはない。
3-5-4-3 通知の内容
本人へ通知すべき事項については、漏えい等報告における報告事項のうち、「概要」(規則第8条第1項第1号)、「漏えい等が発生し、又は発生したおそれがある個人データの項目」(同項第2号)、「原因」(同項第4号)、「二次被害又はそのおそれの有無及びその内容」(同項第5号)及び「その他参考となる事項」(同項第9号)(※)に限られている。これらの事項が全て判明するまで本人への通知をする必要がないというものではなく、本人への通知は、「当該事態の状況に応じて速やかに」行う必要がある(3-5-4-2(通知の時間的制限)参照)。
本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものである。
また、当初報告対象事態に該当すると判断したものの、その後実際には報告対象事態に該当していなかったことが判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要である。
- 【本人の権利利益を保護するために必要な範囲において通知を行う事例】
- 事例1)不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するに当たり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること。
- 事例2)漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること。
(※)規則第8条第1項第1号、第2号、第4号、第5号及び第9号に定める事項については、3-5-3-3(速報)を参照のこと。なお、同項第9号に定める事項については、本人への通知を補完するため、本人にとって参考となる事項をいい、例えば、本人が自らの権利利益を保護するために取り得る措置が考えられる。
3-5-4-4 通知の方法
「本人への通知」とは、本人に直接知らしめることをいい、事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければならない(2-14(本人に通知)参照)。また、漏えい等報告と異なり、本人への通知については、その様式が法令上定められていないが、本人にとって分かりやすい形で通知を行うことが望ましい。
- 【本人への通知の方法の事例】
- 事例1)文書を郵便等で送付することにより知らせること。
- 事例2)電子メールを送信することにより知らせること。
3-5-4-5 通知の例外
本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置(※1)を講ずることによる対応が認められる。
- 【本人への通知が困難な場合に該当する事例】
- 事例1)保有する個人データの中に本人の連絡先が含まれていない場合
- 事例2)連絡先が古いために通知を行う時点で本人へ連絡できない場合
- 【代替措置に該当する事例】
- 事例1)事案の公表(※2)
- 事例2)問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
- (※1)代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましい。
- (※2)公表すべき内容は、個別の事案ごとに判断されるが、本人へ通知すべき内容を基本とする。