1. ホーム
  2. 委託先管理Blog
  3. 記事

個人情報漏えい時の報告義務とは?本人への通知が必要な場合や具体例、手続きを解説

個人情報漏えいが発生した際には、まず冷静に状況を把握し、必要な報告を行うことが大切です。報告を怠ると法的な問題に発展する可能性もあるため、迅速かつ正確な対応が求められます。

 

本記事では、個人情報漏えい時に報告義務が発生する具体的なケースや手続きについて解説します。

目次
1.個人情報漏えい時の報告義務とは
■個人情報とは
■個人情報保護委員会とは
■漏えい・毀損・滅失等の定義
2. 個人情報漏えい時に報告義務が発生する具体的なケース
■要配慮個人情報が含まれる場合
■財産的被害が発生する恐れがある場合
■不正目的による漏えいが発生した場合
■1,000人を超える大規模な漏えいが発生した場合
3. 個人情報漏えいの報告が不要なケース
■漏えいした情報が個人の特定に至らない場合
■個人に具体的な被害や影響が及ばないと判断される場合
■仮名加工情報である場合
■高度な暗号化措置が講じられている場合
4. 個人情報漏えいの報告義務に関する手続き
■報告を行うべき事業者
■報告時期と内容
5. 個人情報漏えいの本人への通知方法と注意点
■通知を行うべきタイミング
■通知内容
■通知手段
6. まとめ

1.個人情報漏えい時の報告義務とは

個人情報漏えい時の報告義務とは、企業や組織が個人情報の不正な流出や紛失が発生した際に、迅速に関連機関へ報告する義務です。個人情報保護法や銀行法、電気通信事業法で報告が義務付けられています。

 

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

 

引用:個人情報の保護に関する法律第二十六条「e-Gov 法令検索」

 

報告義務は、被害を最小限に抑え、関係者への影響を減らすために重要です。自社の社会的な信頼を維持し、法令遵守を果たすためにも欠かせません。

報告義務が定められているのは、個人情報が漏えいした場合、個人のプライバシーや安全が脅かされる可能性があるためです。金融情報や医療情報などのセンシティブなデータが含まれる場合、漏えいによる甚大な影響が予想されます。そのため、法律で個人情報漏えい時の報告義務が定められており、迅速な対応が求められているわけです。

個人情報の取り扱いは、2005年に施行された「個人情報の保護に関する法律」によって規定されています。この法律は個人情報を適切に取り扱うことを事業者に義務付けており、個人情報漏えいが発生した場合には、一定の条件のもとで報告義務が生じます。報告義務が発生する具体的なケースについては後述しますが、要配慮個人情報や財産的被害が発生する恐れがある場合などが含まれます。

 

【参考】

漏えい等報告・本人への通知の義務化について「個人情報保護委員会」

 

■個人情報とは

個人情報とは、特定の個人を識別することができる情報です。具体的には、氏名や住所、生年月日、電話番号、メールアドレスなどが該当します。これらの情報が漏えいすると個人が特定されてしまう可能性があるため、適切な管理が非常に重要です。デジタル化が進む現代では個人情報の流出リスクが高まっており、企業や組織は個人情報の情報漏えいを未然に防ぐための対策を講じることが求められています。

 

【関連記事】

個人情報とは?定義や具体例、取り扱う際の基本ルールを解説

 

■個人情報保護委員会とは

個人情報保護委員会とは、個人情報の適切な取り扱いを監督し、個人情報保護法の施行を担う日本の行政機関です。個人情報保護法は個人情報の漏えいや不正利用を防ぐための法律であり、委員会はその法律の遵守を確保する役割を果たしています。具体的には、事業者が個人情報を適正に管理しているかを監視し、必要に応じて指導や勧告を行います。

 

個人情報保護委員会は、個人情報が漏えいした場合に事業者に対して報告義務を課すことがあります。これは、個人情報の漏えいが発生した際に迅速に対応し、被害を最小限に抑えるためです。報告が必要な場合には、事業者は速やかに委員会へ状況を報告しなければなりません。

 

委員会は、事業者が適切に対応できるよう、ガイドラインやQ&Aを提供しています。これにより、事業者は具体的な対応策を理解し、適切な行動を取ることができます。

 

【参考】

法令・ガイドライン等「個人情報保護委員会」

 

■漏えい・毀損・滅失等の定義

個人情報保護法における漏えいとは、個人情報が不正に第三者に渡ることを指します。例えば、顧客の名前や住所が外部に流出するケースです。毀損は、データが改ざんされることを意味します。例えば、顧客の購入履歴が意図的に変更される場合です。滅失は、データが消失することを指します。例えば、システムの故障で顧客情報が失われるといった状況を指します。

 

 

2. 個人情報漏えい時に報告義務が発生する具体的なケース

個人情報漏えい時に報告義務が発生するケースは以下の4つです。

  • 要配慮個人情報が含まれる場合
  • 財産的被害が発生する恐れがある場合
  • 不正目的による漏えいが発生した場合
  • 大規模な漏えいが発生した場合

それぞれのケースについて詳しく解説します。

 

■要配慮個人情報が含まれる場合

個人情報漏えい時に報告義務が発生する1つ目のケースは、要配慮個人情報が含まれる場合です。

 

要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態


引用:個人情報の保護に関する法律施行規則第7条1号

 

要配慮個人情報とは、健康状態や病歴、犯罪歴、社会的地位といった、個人のプライバシーに深く関わる情報を指します。報告義務が発生する理由は、要配慮個人情報が漏えいした場合、個人が受ける被害が大きくなる可能性が高いためです。例えば、健康情報が漏えいすれば、就職や保険加入に影響を及ぼすかもしれません。また、犯罪歴が知られることで、社会的な地位を失うリスクもあります。このような事態を防ぐため、漏えいが発生した際には速やかに報告し、被害の拡大を防止する措置を講じることが求められているわけです。

 

 【関連記事】

 要配慮個人情報とは?定義や具体例、取扱いルール、違反した場合のペナルティについて解説

 

■財産的被害が発生する恐れがある場合

個人情報漏えい時に報告義務が発生する2つ目のケースは、財産的被害が発生する恐れがある場合です。

 

不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態


引用:個人情報の保護に関する法律施行規則第7条2号

 

これは、漏えいした情報が第三者に悪用され、金銭的な損失を被る可能性があるためです。例えば、クレジットカード番号や銀行口座情報が漏えいした場合、これらの情報を使って不正な取引が行われる危険性があります。報告義務が発生する背景には、被害者の保護と被害拡大の防止があります。漏えいが判明した時点で速やかに関係機関に報告し、被害者に対しても迅速に通知を行うことで、被害を最小限に抑えることができるわけです。

 

■不正目的による漏えいが発生した場合

個人情報漏えい時に報告義務が発生する3つ目のケースは、不正目的による漏えいが発生した場合です。

 

不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態


引用:個人情報の保護に関する法律施行規則第7条3号

 

第三者が悪意を持って個人情報を盗み出し、それを不正に利用するケースが該当します。例えば、ハッキングによって顧客データが外部に流出し、その情報が詐欺や不正な取引に利用される場合です。このような状況では、被害者の財産的な被害やプライバシーの侵害が深刻化する可能性があります。不正目的による漏えいは、一般的に組織のセキュリティ対策の不備が原因となることが多いです。このような漏えいが発生した場合、速やかに個人情報保護委員会への報告が求められます。

 

■1,000人を超える大規模な漏えいが発生した場合

個人情報漏えい時に報告義務が発生する4つ目のケースは、1,000人を超える大規模な漏えいが発生した場合です。

 

個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態


引用:個人情報の保護に関する法律施行規則第7条4号

 

具体的には、漏えいした個人情報の件数が多い場合や影響を受ける個人が多数に及ぶ場合が該当します。漏えいした情報が不正に利用される可能性がある場合、被害が拡大しやすいため早急な対応が必要です。大規模な漏えいが発生すると、企業の信用が大きく損なわれる可能性があります。このため、企業は社内体制を整え、迅速に個人情報保護委員会へ報告し、被害者への通知を行うことが重要です。

 

 

3. 個人情報漏えいの報告が不要なケース

 個人情報漏えいが発生した場合でも、必ずしも報告義務が発生するわけではありません。

以下に該当する場合、個人情報漏えいの報告が不要になる可能性があります。

  • 漏えいした情報が個人の特定に至らない場合
  • 個人に具体的な被害や影響が及ばないと判断される場合
  • 仮名加工情報である場合
  • 高度な暗号化措置が講じられている場合

それぞれのケースについて詳しく解説します。

 

■漏えいした情報が個人の特定に至らない場合

報告が不要な場合の一つは、漏えいした情報が個人の特定に至らない場合、個人情報漏えいの報告は不要です。例えば、匿名化されたデータや個人を特定できない程度に加工された情報が漏えいした場合には、報告義務は生じません。

ただし、他の情報と組み合わせることで個人が特定できる場合は注意が必要です。例えば、特定の職業や役職、珍しい趣味などが含まれている場合、それが他の情報と結びついて個人を特定できる可能性があるかもしれません。このような場合は、報告が必要となることもあります。

 

■個人に具体的な被害や影響が及ばないと判断される場合

漏えいによって個人に具体的な被害や影響が及ばないと判断される場合も、報告は不要です。

報告が不要な理由としては、個人のプライバシーや権利が侵害される可能性が低いことが挙げられます。さらに、情報が適切に管理されており、漏えい後すぐに対策が講じられた場合も、影響が最小限に抑えられるため、報告が不要とされることがあります。

これらの判断は、企業や団体が個別に行う必要がありますが、誤った判断を避けるためにも、事前に個人情報保護の専門家や法律の専門家と相談することが重要です。最終的には、漏えいの影響度や個人情報の特性を考慮し、適切な対応をとることが求められます。報告が不要な場合でも、内部での記録や対応策の検討は欠かせません。

 

■仮名加工情報である場合

漏えいした情報が仮名加工情報である場合、個人情報漏えいの報告は必要ありません。仮名加工情報は個人を特定できないため、漏えいしても直接的なプライバシー侵害や被害が発生しにくいからです。

 

仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十七条第二項、第二十六条及び第三十二条から第三十九条までの規定は、適用しない。


引用:個人情報保護法第41条9項

 

仮名加工情報とは、個人情報を特定の個人と結びつけにくくするために加工された情報を指します。具体的には、名前や住所などの情報を仮名に置き換え、元の情報が分からないようにしたものです。

 

【関連記事】

仮名加工情報とは?匿名加工情報との違いや具体例、取り扱う際の注意点を解説

 

■高度な暗号化措置が講じられている場合

高度な暗号化措置が講じられている場合、個人情報漏えいの報告は不要です。

 

要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態


引用:個人情報の保護に関する法律施行規則第7条1号

 

これは、仮に漏えいが発生したとしても、情報が解読されなければ個人のプライバシーが侵害される可能性が極めて低く、実質的な被害が発生しないと判断されるためです。

暗号化が有効であるためには、最新の技術を用いた強力な暗号化方式を使用することが求められます。また、暗号化の鍵管理が適切に行われていることも重要です。鍵が第三者に渡ってしまえば、暗号化の意味がなくなってしまいます。

 

 

4. 個人情報漏えいの報告義務に関する手続き

■報告を行うべき事業者

報告を行うべき事業者は、個人情報を取り扱う全ての事業者です。企業や団体だけでなく個人事業主やフリーランスも含め、どんな規模の事業者であっても、個人情報を取り扱う限り報告義務が発生します。

 

■報告時期と内容

報告は、漏えいが確認された時点から可能な限り速やかに行う必要があります。具体的には、漏えいの事実を知った後、遅くとも3日以内に報告を開始することが望ましいです。

報告内容には、漏えいの概要から影響を受けた個人情報の種類や件数、漏えいが発生した経緯、現在の対応状況までが含まれます。また、被害を最小限に抑えるための対策や再発防止策についても詳しく記載することが重要です。

報告は、原則として書面で行うことが求められています。緊急性が高い場合には電話やメールでの連絡も可能ですが、状況に応じて柔軟に対応することが重要です。

 

 

5. 個人情報漏えいの本人への通知方法と注意点

個人情報の漏えいが発生した場合、個人情報保護委員会や関係機関に報告するだけでなく、個人情報が漏えいした本人に対しても通知する必要があります。

 

■通知を行うべきタイミング

個人情報漏えいが発生した場合、漏えいが確認された時点で速やかに通知を行うことが求められます。なぜなら、個人情報の漏えいは、当事者にとって予期しない被害をもたらす可能性があるからです。通知のタイミングが遅れることで、被害が拡大するリスクも高まります。

例えば、第三者による不正使用が懸念される場合、早期に通知することで、当事者が適切な対策を講じる時間を確保することができます。具体的な例としては、クレジットカードの不正利用を防ぐためにカードを停止する手続きが挙げられます。

 

 

■通知内容

個人情報漏えいが発生した際には、漏えいがどのように発生し、漏えいによって考えられるリスクや影響についても説明することが重要です。例えば、氏名や住所、電話番号、クレジットカード情報など、どのような個人情報が影響を受けたかを具体的に示します。次に、漏えいが発生した経緯や原因についても詳細に説明します。これにより、個人情報が漏えいした本人も状況を正確に理解し、必要な対策を講じることができます。

通知内容には、個人情報が漏えいした本人が取るべき具体的な行動や問い合わせ先も含めると良いでしょう。例えば、クレジットカードの不正利用が懸念される場合は、カード会社への連絡方法や、カードの停止手続きについての情報を提供します。

 

 

■通知手段

個人情報漏えいが発生した場合、個人情報が漏えいした本人へ迅速かつ確実に情報を届けるために、電子メールや郵送を利用することが一般的です。電子メールは即時性が高く、多くの人に一斉に送信できるため、緊急時に有効です。ただし、受信者がメールを見落とす可能性もあるため、件名や内容に注意を払い、目立つように工夫する必要があります。

一方、郵送は受取人に直接手渡しされるため確実性が高いですが、時間がかかるため、緊急性が高い場合には不向きです。状況に応じて、電話連絡を補助的に使用することも考えられます。電話は即時に確認が取れるため、重要な情報を直接伝える手段として有効です。

また、通知内容が複雑な場合や、受取人が多い場合には、専用のWebページを設けて詳細情報を提供する方法も有効です。通知手段の選択は、情報の緊急性や受取人の状況を考慮し、最も効果的な方法を選ぶことが求められます。

 

 

6. まとめ

今回は、個人情報漏えい時に報告義務が発生する具体的なケースや手続きについて解説しました。個人情報の漏えいは企業や個人にとって大きなリスクとなり得ます。報告義務を怠ると法的な問題に発展する可能性があるため、迅速かつ適切な対応が重要です。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。