第1 漏えい等(漏えい、滅失、毀損等のこと。)における報告義務
改正個人情報保護法では漏えい等の場合に個人情報保護委員会への報告義務が課されるように改正されました(改正法第22条の2)。
|
改正個人情報保護法において報告が必要となる場合は次のような場合です。 ①要配慮個人情報が含まれる個人データの漏えい等 ②財産的損害が生じるおそれがある個人データの漏えい等 ③不正の目的をもって行われたおそれがある個人データの漏えい等 ④1000人を超える個人データの漏えい等 |
このように改正個人情報保護法では、報告義務が必要な場合について、質的基準(①ないし③)と量的基準(④)でもって定めており、例えばクレジットカード情報などが漏えい等した場合、1件でも個人情報保護委員会への報告が必要となるので、注意が必要です。
改正法への対応としては、漏えい等があった場合において、個人情報保護委員会への報告が必要となるか否かを調査し、正確に判断することができるような体制を整備しておくことが肝要です。個人情報保護委員会への報告が必要となる事項は、次のとおりですので、このような項目に従った情報が正確に社内で共有されるような体制を整備することが求められます。
|
①概要 ②個人データの項目 ③本人の数(※流出の対象となった人の数。) ④原因 ⑤二次被害又はそのおそれの有無及びその内容 ⑥本人への対応の実施状況 ⑦公表の実施状況 ⑧再発防止のための措置 ⑨その他参考となる事項 |
第2 報告の方法
改正個人情報保護法では、個人情報保護委員会への報告の方法について「速報」と「確報」の二段階に分けて行うことを想定しています。
まず、報告が必要となる漏えい等の事由が発生した場合、事業者は、漏えい等の事由が発生したことを知った後、速やかに報告の際に把握している事項を報告する必要があります(「速報」、個人情報保護法施行規則第6条の3第1項)。
その後、事業者は、漏えい等の事由が発生したことを知った日から起算して原則30日以内に「速報」で報告できなかった事項を含めて報告する必要があります(「確報」、同条第2項)。
これは、漏えい等の事態が発生した場合、まずは報告できる事項を報告させることで、個人情報保護委員会が適切な指導を行うことができるようにし、その後の調査により更に判明した事実についてはより詳細な情報を報告させるようにしたものです。
「速報」については漏えい等を知った後速やかに行う必要がありますので、漏えい等が発覚した場合に迅速に報告事項に関する情報の共有が図られるように社内体制を整備しておくことが肝要です。
第3 本人への通知
改正個人情報保護法では、漏えい等があった場合に本人へ通知することも義務付けられました(改正個人情報保護法第22条の2)。
本人へ通知しなければならない事項は、以下のとおりです。
①概要
②個人データの項目
③原因
④二次被害又はそのおそれの有無及びその内容
⑤その他参考となる事項
なお、本人への通知に関しては、個人情報保護委員会への報告と異なり、漏えい等の「事態の状況に応じて速やかに」とされています。
これは、事実関係の確認がままならない中で本人へ通知しなければならないとした場合、混乱が生じるおそれがあるため、事態の状況に応じて速やかにとされています。
基本的には漏えい等の場合、個人情報保護委員会への報告(「速報」)を行った後に本人へ通知することが通常であると思われ、本人への通知の時期に関しては個人情報保護委員会と相談しながら進めていくことになるものと思われます。
第4 罰則等
個人情報保護法には、漏えい等を直接処罰するような規定はありませんが、個人情報保護委員会からの命令に違反した場合には、罰則が下される場合があります。また、個人情報保護委員会から個人情報の取扱いに関して報告や資料の提出を求められたにもかかわらず、報告を怠り、又は虚偽の報告をし、資料の提出を怠った場合などには罰則が下される場合があります。
改正個人情報保護法では、法定刑が引き上げられており、この罰則に関しては令和2年12月12日で既に施行されているため注意が必要です。