個人情報の「保管・管理」のルール（個人情報保護法22条～26条）

個人情報は正確かつ最新の内容に保たなければならず、不要になった場合は消去しなければなりません。

また、漏洩等が生じないように、安全管理のために必要かつ適切な措置を講じなければなりません。従業員や委託先に託す場合は、必要かつ適切な監督を行わなければなりません。

紙媒体であれば、カギのかかるキャビネット等に保管しなければなりませんし、パソコンで管理している場合はファイルにパスワードを設定し、セキュリティ対策ソフトを活用するなどして外部から閲覧できないようにする必要があります。

個人情報漏洩事故を起こしてしまった場合、個人の権利利益を害するおそれが大きいのであれば、個人情報保護委員会への報告と、本人への通知を行う義務を負います。

これら2つの義務は、以前は努力義務に過ぎなかったのが、2022年4月から法的義務となったものです。

「個人の権利利益を害するおそれが大きい」とは、以下のいずれかの漏洩等が発生した場合、あるいは発生したおそれがある場合をさします。

今回のトヨタの事件は、29万人を超える個人データ（メールアドレスと顧客管理番号）が「インターネット上でアクセス可能な状態」となっていたのみで、かつ、「第三者によるアクセスは確認できない」ということで、実際に個人情報が第三者の手に渡った形跡はなく、かつ、氏名・電話番号・クレジットカードの情報については漏洩の可能性がないとのことです。

しかし、「1,000人を超える人の個人データが漏洩した」に該当するので、自動的に個人情報保護委員会への報告と、本人への通知を行う義務を負います。

これに対し、たとえ1名であっても、「個人データに要配慮個人情報が含まれる」「不正利用により財産的被害が生じるおそれがある」「不正目的をもって行われたおそれがある」等の場合は、個人情報保護委員会への報告と、本人への通知を行う義務を負います。