(写真はイメージです/PIXTA)

2003年に個人情報の保護に関する法律が制定されて以降の個人情報についての権利意識の高まりや、度重なる同法の改正による義務の強化などから、企業としては、個人データ漏洩について、より適切な対処が求められています。そこで本記事では、企業法務に詳しいAuthense法律事務所の西尾公伸弁護士が、企業が個人データを漏洩した際の実務的対応について解説していきます。

【関連記事】「どうせ訴えないでしょ」セレブインスタグラマーの哀れな末路【弁護士が解説】

「個人データ」とは、一体何を指すのか?

個人情報の保護に関する法律(以下「個人情報保護法」といいます。)は、データ漏洩などについては、「個人データ」が漏洩などした場合に、「個人データベース等」を事業の用に供している者(「個人情報取扱事業者」)に一定の義務を課しています。

 

他方で、「個人データ」に該当しない狭義の個人情報の漏洩などについては、上記義務の対象としていません。

 

そのため、いかなる個人情報が「個人データ」に該当するか確認する必要があります。

 

個人情報保護法は、「個人データ」について、「個人情報データベース等を構成する個人情報」と定義しています(2条6項)。

 

「個人情報データベース等」とは、「特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物」とされています(個人情報保護法ガイドライン17頁:https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf)。

 

また、コンピュータを用いていない場合であっても、「紙面で処理した個人情報を一定の規則(たとえば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの」も該当します(同17頁: https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf) 。

 

ただし、次の(1)から(3)までのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しないとされています(同17頁:https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf)。

 

(1)不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
(2)不特定かつ多数の者により随時に購入することができ、又はできたものであること。
(3)生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

2020年改正前の個人情報保護法の下での対応

個人データの漏洩が発生した場合の企業の対応について、2020年改正以前は、個人情報保護法上、具体的な規定を欠いていました。

 

また、個人情報法保護法の監督権限を有する個人情報保護委員会の告示「個人データの漏洩等の事案が発生した場合等の対応について」(https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf)においても、個人データの漏洩などが発生した場合の企業の対応としては、「影響を受ける可能性のある本人への連絡等」が「望ましい」との記載や、「個人情報保護委員会等への報告」をするよう「努める」との記載にとどまり、強制力のない努力義務が規定されているだけでした。

 

そのため、個人データ漏洩などの対応としては、各企業が自主的に事案の公表や再発防止策を講じたり、影響を受ける可能性がある者への連絡などを講じたりしている状況であり、個人情報を漏洩などされた個人の権利利益の保護としては、不十分な状態でありました。

「個人情報保護法」2020年改正で何が変わったのか?

2020年改正により、「漏えい等の報告等」に関する規定が個人情報保護法に新設されました(22条の2)。

 

同改正により、個人データ漏洩などが生じた場合に、個人データ漏洩などを生じさせた企業には、当該事態が生じた旨を、①個人情報保護委員会に報告すること、②本人へ通知することが義務付けられました。

 

個人データ漏洩などが生じたすべての事態に報告及び通知の義務は課されてはいません。
報告及び通知の対象となる事態は、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」に限定されています。

 

同改正の趣旨は、個人情報保護委員会への報告義務については、「個人情報保護委員会が漏洩等の事態を早急に把握し、必要な措置を講じることができるようにするため」、本人への通知義務については、「通知を受けた本人が漏洩等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにある」、とされています(https://www.ppc.go.jp/files/pdf/201030_roueitouhoukoku.pdf)。

個人データ漏洩…企業はどのように対応すべきか?

個人データが漏洩した場合には、漏洩などを行った企業には、前述の個人情報保護委員会の告示に従い、漏洩などに対応する措置をとることを検討する必要が生じます。

 

また、個人データの内容などに応じては前述の個人情報法保護法22条の2に基づく報告・通知義務が、漏洩などを行った企業に生じます。

 

個人情報法保護委員会は、告示において漏洩などの対応として、具体的に講ずることが望ましい措置としては、以下の6つの措置を挙げています。

 

同告示は法的な義務を企業に課すものではありませんが、個人情報保護法の監督権限を有する個人情報法保護委員会の見解であり、漏洩などの対応として参考になるものと考えられます。

 

・事業者内部における報告及び被害の拡大防止
・事実関係の調査及び原因の究明
・影響範囲の特定
・再発防止策の検討及び実施
・影響の受ける可能性のある本人への連絡等
・事実関係及び再発防止策等の公表

 

漏洩などの対応としては、個人情報法保護法の他、各分野のガイドラインにも定められている場合があります。

 

たとえば、「金融分野における個人情報法保護に関するガイドライン」においては、監督当局への報告義務や本人への通知などの義務が企業に課されています。

 

そのため、漏洩などの対応としては、個人情報法保護法のみならず、各関係分野の個人情報法保護に関するガイドラインについて事案に応じて確認の上、対応する必要があります。

国においても強化される個人データ保護法制

近年、デジタル化の進展やビックデータのビジネスへの活用が急激に進んでいることなどを背景に、個人データ保護法制については、諸外国においても強化される傾向にあります。

 

個人情報保護法が規定するような個人データの漏洩などに対する通知義務などに相当する規定は諸外国の法制においてもみられます。

 

たとえば、EU加盟国において適用される「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則」(以下「GDPR」といいます。)、は33条及び34条に個人データ漏洩などへの対応するための規定が置かれています。

 

また、GDPRによる個人データ保護の対象は、EU域内に居住している者である必要はなく、EU域内に存在する者の個人データであれば保護の対象となるとされています。

 

そのため、EU域内に対象者が居住していなくとも個人データが保護の対象となり、GDPRが域外適用される結果、日本国内の企業であってもGDPRの保護の対象となる者の個人データを取扱うような場合は、思わぬところで同法の規制に服する可能性があります。

 

 

西尾 公伸

Authense法律事務所 弁護士

 

【関連記事】

■税務調査官「出身はどちらですか?」の真意…税務調査で“やり手の調査官”が聞いてくる「3つの質問」【税理士が解説】

 

■月22万円もらえるはずが…65歳・元会社員夫婦「年金ルール」知らず、想定外の年金減額「何かの間違いでは?」

 

■「もはや無法地帯」2億円・港区の超高級タワマンで起きている異変…世帯年収2000万円の男性が〈豊洲タワマンからの転居〉を大後悔するワケ

 

■「NISAで1,300万円消えた…。」銀行員のアドバイスで、退職金運用を始めた“年金25万円の60代夫婦”…年金に上乗せでゆとりの老後のはずが、一転、破産危機【FPが解説】

 

■「銀行員の助言どおり、祖母から年100万円ずつ生前贈与を受けました」→税務調査官「これは贈与になりません」…否認されないための4つのポイント【税理士が解説】

 

本記事はAuthense企業法務のブログ・コラムを転載したものです。

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧