検索
【関連記事】「どうせ訴えないでしょ」セレブインスタグラマーの哀れな末路【弁護士が解説】
「個人データ」とは、一体何を指すのか?
個人情報の保護に関する法律(以下「個人情報保護法」といいます。)は、データ漏洩などについては、「個人データ」が漏洩などした場合に、「個人データベース等」を事業の用に供している者(「個人情報取扱事業者」)に一定の義務を課しています。
他方で、「個人データ」に該当しない狭義の個人情報の漏洩などについては、上記義務の対象としていません。
そのため、いかなる個人情報が「個人データ」に該当するか確認する必要があります。
個人情報保護法は、「個人データ」について、「個人情報データベース等を構成する個人情報」と定義しています(2条6項)。
「個人情報データベース等」とは、「特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物」とされています(個人情報保護法ガイドライン17頁:https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf)。
また、コンピュータを用いていない場合であっても、「紙面で処理した個人情報を一定の規則(たとえば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの」も該当します(同17頁: https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf) 。
ただし、次の(1)から(3)までのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しないとされています(同17頁:https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf)。
(2)不特定かつ多数の者により随時に購入することができ、又はできたものであること。
(3)生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
2020年改正前の個人情報保護法の下での対応
個人データの漏洩が発生した場合の企業の対応について、2020年改正以前は、個人情報保護法上、具体的な規定を欠いていました。
また、個人情報法保護法の監督権限を有する個人情報保護委員会の告示「個人データの漏洩等の事案が発生した場合等の対応について」(https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf)においても、個人データの漏洩などが発生した場合の企業の対応としては、「影響を受ける可能性のある本人への連絡等」が「望ましい」との記載や、「個人情報保護委員会等への報告」をするよう「努める」との記載にとどまり、強制力のない努力義務が規定されているだけでした。
そのため、個人データ漏洩などの対応としては、各企業が自主的に事案の公表や再発防止策を講じたり、影響を受ける可能性がある者への連絡などを講じたりしている状況であり、個人情報を漏洩などされた個人の権利利益の保護としては、不十分な状態でありました。
「個人情報保護法」2020年改正で何が変わったのか?
2020年改正により、「漏えい等の報告等」に関する規定が個人情報保護法に新設されました(22条の2)。
同改正により、個人データ漏洩などが生じた場合に、個人データ漏洩などを生じさせた企業には、当該事態が生じた旨を、①個人情報保護委員会に報告すること、②本人へ通知することが義務付けられました。
個人データ漏洩などが生じたすべての事態に報告及び通知の義務は課されてはいません。
報告及び通知の対象となる事態は、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」に限定されています。
同改正の趣旨は、個人情報保護委員会への報告義務については、「個人情報保護委員会が漏洩等の事態を早急に把握し、必要な措置を講じることができるようにするため」、本人への通知義務については、「通知を受けた本人が漏洩等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにある」、とされています(https://www.ppc.go.jp/files/pdf/201030_roueitouhoukoku.pdf)。
個人データ漏洩…企業はどのように対応すべきか?
個人データが漏洩した場合には、漏洩などを行った企業には、前述の個人情報保護委員会の告示に従い、漏洩などに対応する措置をとることを検討する必要が生じます。
また、個人データの内容などに応じては前述の個人情報法保護法22条の2に基づく報告・通知義務が、漏洩などを行った企業に生じます。
個人情報法保護委員会は、告示において漏洩などの対応として、具体的に講ずることが望ましい措置としては、以下の6つの措置を挙げています。
同告示は法的な義務を企業に課すものではありませんが、個人情報保護法の監督権限を有する個人情報法保護委員会の見解であり、漏洩などの対応として参考になるものと考えられます。
・事実関係の調査及び原因の究明
・影響範囲の特定
・再発防止策の検討及び実施
・影響の受ける可能性のある本人への連絡等
・事実関係及び再発防止策等の公表
漏洩などの対応としては、個人情報法保護法の他、各分野のガイドラインにも定められている場合があります。
たとえば、「金融分野における個人情報法保護に関するガイドライン」においては、監督当局への報告義務や本人への通知などの義務が企業に課されています。
そのため、漏洩などの対応としては、個人情報法保護法のみならず、各関係分野の個人情報法保護に関するガイドラインについて事案に応じて確認の上、対応する必要があります。
国においても強化される個人データ保護法制
近年、デジタル化の進展やビックデータのビジネスへの活用が急激に進んでいることなどを背景に、個人データ保護法制については、諸外国においても強化される傾向にあります。
個人情報保護法が規定するような個人データの漏洩などに対する通知義務などに相当する規定は諸外国の法制においてもみられます。
たとえば、EU加盟国において適用される「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則」(以下「GDPR」といいます。)、は33条及び34条に個人データ漏洩などへの対応するための規定が置かれています。
また、GDPRによる個人データ保護の対象は、EU域内に居住している者である必要はなく、EU域内に存在する者の個人データであれば保護の対象となるとされています。
そのため、EU域内に対象者が居住していなくとも個人データが保護の対象となり、GDPRが域外適用される結果、日本国内の企業であってもGDPRの保護の対象となる者の個人データを取扱うような場合は、思わぬところで同法の規制に服する可能性があります。
西尾 公伸
Authense法律事務所 弁護士
【関連記事】
税務調査官「出身はどちらですか?」の真意…税務調査で“やり手の調査官”が聞いてくる「3つの質問」【税理士が解説】
恐ろしい…銀行が「100万円を定期預金しませんか」と言うワケ
親が「総額3,000万円」を子・孫の口座にこっそり貯金…家族も知らないのに「税務署」には“バレる”ワケ【税理士が解説】
