総合研究部 研究員 長谷部純菜
1.はじめに
令和2年度改正個人情報保護法が、2022年4月1日に施行される。概要については、2020年6月のSPNの眼「近時の個人情報保護制度に関する動向~2020年個人情報保護法の改正・マイナンバーの利用について~」で紹介しているのでご一読いただきたい。改正までの最近の動きとしては、2021年8月に個人情報保護委員会から「個人情報の保護に関する法律についてのガイドライン」が公表されている。ガイドラインには、具体的な事例や考え方が記載されているため、個人情報を取り扱う、または、統括部門の方々は一読することをお勧めする。改正個人情報保護法では本人の権利保護の強化やデータの利活用の促進などの内容が盛り込まれている。改正に対応するために事業者では、さまざまな対応が求められる。本稿では、個人情報漏えい事案における改正個人情報保護法の影響に特化して整理していきたい。
2.現行法下における個人情報漏えい事案への対応状況
(1)現行法における個人情報漏えい事案へのルール
現行の個人情報保護法においては、個人情報漏えいに関する定めはない。そのため、個人情報保護委員会が定める下記2つによってルールが設けられている。
また、特定個人情報の漏えいについては、別途「事業者における特定個人情報の漏えい事案等が発生した場合の対応について(平成27年特定個人情報保護委員会告示第2号)」で定められている。
現行法上では、下記に該当する事案を「漏えい等事案」の対象としている。
- 個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
- 個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)第20条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい
- 上記①又は②のおそれ
これらの漏えい等事案が発生した場合は、次の6項目について必要な措置を講ずることが望ましいとされている。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 影響を受ける可能性のある本人への連絡等
- 事実関係及び再発防止策等の公表
また、漏えい等事案が発覚した場合は、その事実関係及び、再発防止策等について、個人情報保護委員会に対し、速やかに報告するよう努力義務が定められている。なお、報告を要しない例として、
- 実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合
- FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合
が挙げられている。
(2)個人情報漏えい等の報告状況
個人情報保護委員会にはどのような漏えい事案が報告されているのかについて、個人情報保護委員会の「令和2年度 個人情報保護委員会 年次報告」を見ていきたい。個人情報保護委員会に報告することは、努力義務であるため、すべての漏えい事案が報告されているわけではないが、参考になるだろう。令和2年度(令和2年4月1日~令和3年3月31日)において個人情報保護委員会が個人データの漏えい等事案の報告受付件数は4,141件であった。内訳としては下記の表のとおりである。
個人データの漏えい等事案の報告の受付件数(令和2年4月1日~令和3年3月31日)
報告先 |
件数 |
---|---|
個人情報保護委員会直接受付 |
1,027 |
委託先省庁経由 |
1,122 |
認定団体経由 |
1,992 |
合計 |
4,141 |
報告された漏えい等事案の状況としては下記の表のとおりである。
①漏えい等した人数(令和2年4月1日~令和3年3月31日)
委員会 |
包括委任先省庁 |
認定団体 |
合計 |
||
---|---|---|---|---|---|
漏えい等した人数 |
~500人 |
824 |
1,089 |
1,867 |
3,780 |
501~5,000人 |
109 |
16 |
63 |
188 |
|
5,001~50,000人 |
51 |
7 |
22 |
80 |
|
50,001人~ |
29 |
5 |
9 |
43 |
|
不明 |
14 |
5 |
31 |
50 |
|
件数 |
1,027 |
1,122 |
1,992 |
4,141 |
約8割程度の漏えい等事案では、漏えい件数が500人以下となっている。次章で詳細を記述するが、改正個人情報保護法で漏えいの対象となる、1001人以上の漏えいの場合は、約1,2割程度であった。小規模の漏えいでも個人情報保護委員会に報告をしている事業者が多数存在することが推察される。
②漏えい等した情報の形態(①のうち個人情報委員会に報告されたもの)
(令和2年4月1日~令和3年3月31日)
情報の形態 |
件数 |
---|---|
電子媒体のみ |
465 |
紙媒体のみ |
523 |
電子・紙媒体 |
5 |
その他 |
34 |
合計 |
1,027 |
個人情報委員会に報告されたもののうち、紙媒体のみが漏えいした事案が約5割、電子媒体のみが漏えいした事案が約4割となっている。不正アクセスなどを原因としたデータでの流出というイメージを持っていた方が多いのではないだろうか。1件あたり何人の個人情報を漏えいしたのかは定かではないが、紙媒体の方が件数としては多くなっている。紙媒体の管理の難しさとして、事業所内で印刷した場合でも個人の管理に依拠する点が挙げられる。個人の管理ミスによって、置き忘れや紛失が発生されることや裏紙の利用なども考えられる。また、コロナ禍でテレワーク化が進み、紙媒体を家に持ち帰るケースも想定できる。コピーをとる、誤ってごみに捨ててしまうなど、容易に複製されるリスクが常に存在する。そもそも技術的に紙媒体に関しては複製を不可能にすることができない。在宅勤務において、個人情報が記載されている紙媒体に限らず、どのような廃棄処理をするのか、どのような情報が記載された紙媒体を持ち出し可とするのか検討し周知しておくことを推奨する。そもそも、紙の管理には限界があるという認識に立って、できるだけ紙媒体そのものを利用した業務を削減する方向になろう。データの管理だけではなく、紙での管理についても今一度確認してみることが必要と考えられる。
③漏えい等元・漏えい等した者(①のうち個人情報委員会に報告されたもの)
(令和2年4月1日~令和3年3月31日)
従業者 |
第三者 |
その他 |
|||
---|---|---|---|---|---|
意図的 |
不注意 |
意図的 |
不注意 |
||
事業者 |
13 |
655 |
156 |
25 |
32 |
委託先 |
2 |
112 |
27 |
0 |
5 |
漏えいした者については事業者における従業者が不注意で漏えいした事案が一番多く、次に第三者が意図的に漏えいした事案が続き、三番目に委託先が不注意で漏えいした事案という順になっている。多くの件数を占めている上記3つについては、ヒューマンエラーの防止や第三者が意図的にデータにアクセスできないようなシステム構築が必要であると考えられる。一方で、従業者が意図的に漏えいした事案については、内部不正が推察される。IPAの「情報セキュリティ10大脅威 2021」を見ると、第6位に内部不正による情報漏えいが位置付けられている。
◆市役所職員による情報流出
2020年5月、青森県弘前市の職員が、業務に使用していたPCから同市の職員約2,700人分の個人情報を地元紙のメールアドレス宛に送信して漏えいさせたことで懲戒免職となった。漏えいした情報は当該PCの前の利用者がPCのごみ箱に捨てたままにしていたものであり、当該PCを引き継いだ当職員が見つけ、保存していた。市の情報管理の不備も指摘されている。
IPA「情報セキュリティ10大脅威 2021」p47より引用
個人情報が誰でもアクセスできる状態などに置かれていると悪意を持つ者が意図的に持ち出すことができてしまう。悪意をもって意図的に持ち出すメリットがある情報は事業者の中でも、「機密性の高いもの」や「個人情報」などが推察され、それらはより厳重な管理が求められる。情報の安全管理措置の見直しや内部不正が起きにくい社内体制づくり、また漏えい事案が発生した場合に早期に検知する仕組みづくりなども進めていく必要があると考えられる。
④漏えい等した後の事業者による対応(①のうち個人情報委員会に報告されたもの)
(令和2年4月1日~令和3年3月31日)
事業者による対応 |
件数 |
---|---|
本人への謝罪・連絡 |
956 |
専用窓口の設置 |
207 |
商品券等の配布 |
13 |
合計 |
1,027 |
漏えい等した後の対応としては、約9割の事業者が本人への謝罪・通知を行っており、約2割が専用窓口の設置をしている。次章で解説する改正個人情報保護法では、個人情報保護委員会への報告と共に本人への通知も義務付けられるようになった。漏えいした旨を本人に伝える方法についても事前に準備しておくことで、迅速な対応につながるだろう。
3.令和2年改正個人情報保護法による影響
前述の個人情報漏えいに関する事業者の対応は、個人情報保護委員会からのガイドラインや告示に基づく努力義務によって実施されていた。努力義務のため、前述の対応をしなくても法令違反として扱われることはなかった。令和2年改正個人情報保護法により、一定の場合には、個人情報保護委員会への報告と漏えい等した個人情報の本人への通知が義務付けられる。現状のルールでは、個人情報保護委員会への報告をする基準が決められていなかった。基準が明確でないため、軽微な事案から重大な事案まで報告されていたことが、「(2)個人情報漏えい等の報告状況」をみると推察される。今回の改正で報告等の対象となる事案を定め、報告方法や報告事項を明確化することで、事業者側もどの程度の個人情報漏えいを発生させた場合、報告しなければならないのかという基準がはっきりし、事業者への負担も軽減されるのではないだろうか。以下で詳しくみていきたい。
(1)報告等の対象となる事案
報告等の対象となる事案として、「個人の権利利益を害するおそれが大きいもの」が定められている。下記の事案以外においても事業者は、個人情報保護委員会に任意の報告をすることができる。
- 要配慮個人情報が含まれる個人データの漏えい等が発生・発生のおそれがある事態
- 【例】
- 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 従業員の健康診断などの結果を含む個人データが漏えいした場合
- 【例】
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生・発生のおそれがある事態
- 【例】
- ECサイトからクレジットカード番号を含む個人データが漏えいした場合
- 送金や決済機能のあるウェブサービスのログインID/パスワードの組み合わせを含む個人データが漏えいした場合
- 【例】
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生・発生のおそれがある事態
- 【例】
- 不正アクセスにより個人データが漏えいした場合
- ランサムウエア等により個人データが暗号化され、復元できなくなった場合
- 個人データが記載または記録された書類・媒体等が盗難された場合
- 従業員が顧客の個人データを不正に持ち出して第三者に提供した場合
- 【例】
- 個人データに係る本人の数が1001人以上の漏えいが発生・発生のおそれがある事態
⇒発覚当初は1000人以下でも、1000人を超えた時点で報告対象となるので注意が必要。- 【例】
- システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1000人を超える場合
- 【例】
また、「漏えいした・おそれのある個人データ」について、高度な暗号化等の秘匿化がされている場合など、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合は報告等の対象外となる。「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合とは、「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」のQ6-16にて解説されている。
下記①かつ②を満たす高度な暗号化その他の必要な措置を講じた場合は報告不要となる。
- 適切な技術が採用されていること
- 適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていること
- 複合等の手段が適切に管理されていること(アイウいずれかを満たすこと)
- 暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること
- 遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること
- 第三者が復号鍵を行使できないように設計されていること
上記のような技術的な措置を行うためには、情報セキュリティマネジメントの一環として、暗号化ソフトの導入を検討することが必要になると思われる。
(2)報告の方法
報告方法は、速報と確報の2段階とされており、具体的には下記のように定められている。ちなみに、弊社も多く個人情報の漏えいに関しご支援をしてきており、経験則上、確報で時間を要することもあるため、把握した時点で個人情報保護委員会へ相談することを推奨している。
速報:「(1)報告等の対象となる事案」①~④の事態を知った後、概ね3~5日以内に報告する。
確報:「(1)報告等の対象となる事案」①~④の事態を知った後、30日(③の事態の場合は60日)以内に報告する。
原則としては、個人情報保護委員会HPの報告フォームに入力する方法により報告を行い、報告を受理する権限を事業所管大臣に委任している場合は当該事業所管大臣に報告することとされている。また、プライバシーマーク取得事業者は、JIPDEC等のプライバシーマーク指定審査機関に報告する必要がある。そしてGDPRが適用される事業者は、データ保護当局への報告及び本人への連絡が義務付けられている。
速報の時点では、現状で把握していることのみの報告でよいが、その時点で「(3)報告等を行うべき事項」のすべての事項を報告できる場合は、1回のみの報告でよい。また、「漏えいが発生したおそれ」のあるときにも速報が求められている。実際のサイバー攻撃等の事案ではサーバーへの不正アクセスの痕跡はあるが、詳細は不明という事態は十分に起こり得る。すなわち、漏えいが発生したという確証がないケースもあり、速報の義務が課されるか、悩ましいケースもある。この点、「発生したおそれ」を漏えい等がうたがわれるものの確証がない場合を含むとしており、おそらく、個人情報を保管するサーバー等へ不正アクセスの痕跡があるというケースは該当しうるものと思われる。
確報の際は、すべての事項が必要であるが、合理的努力を尽くしたうえで、一部の事項が判明しておらず、すべての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完することとされている。不正アクセスやランサムウエアによる漏えいでは、フォレンジック調査を行うことが多いが、期間を要する場合もあり、30日または60日という期間内に調査が終了しないことが想定される。個人情報保護委員会への報告時期などの調整が必要と考えられる。
(3)報告等を行うべき事項
個人情報保護委員会に報告すべき事項は、次の①~⑨が挙げられている。
報告すべき事項 |
個人情報保護委員会 |
本人 |
---|---|---|
①概要 |
○ |
○ |
②漏えい等が発生・発生したおそれがある個人データの項目 |
○ |
○ |
③漏えい等が発生・発生したおそれがある個人データに係る本人の人数 |
○ |
○ |
④原因 |
○ |
○ |
⑤二次被害又はそのおそれの有無及びその内容 |
○ |
|
⑥本人への対応の実施状況 |
○ |
|
⑦公表の実施状況 |
○ |
|
⑧再発防止のための措置 |
○ |
|
⑨ その他参考となる事項 |
○ |
○ |
(4)本人への通知
事業者は、「(1)報告等の対象となる事案」の事態を知ったときは、当該事態が生じた旨を状況に応じて速やかに本人に通知しなければならない。ただし、本人への通知が困難な場合で本人の権利利益を保護するために必要なこれに代わるべき措置を取ることも可能であるとされている。通知内容は、「(3)報告等を行うべき事項」の①~④、⑨である。
本人に直接通知するために、事業の性質及び個人データの取り扱い状況に応じ、通知すべき内容が「本人に認識される合理的かつ適切な方法」によらなければならない。また、「漏えい等報告」とは異なり、本人への通知については様式が定められていないが、本人にとって分かりやすい形で通知するのが望ましいとされている。
【本人への通知方法例】
- 電子メールを送信する
- 文書を郵便等で送付する
下記のような場合においては、本人に直接通知することが困難であることが想定できる。このような場合においては、代替措置を講ずることが望ましい。
- 保有する個人データの中に本人の連絡先が含まれていない
- 連絡先が古いため通知を行う時点で本人へ連絡できない
【代替措置に該当する事例】
- 事案の公表
- 問い合わせ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
事案の公表については、代替措置として挙げられているが、事態の内容によっては二次被害の防止や類似事案の発生防止などの観点から公表を行うことが望ましい。公表すべき内容は、個別の事案ごとに異なるが基本的には本人へ通知すべき内容と同様である。
4.各企業において準備しておくべきこと
これまで、改正個人情報保護法による個人情報漏えい事案への影響について述べてきたが、全面施行される2022年4月1日までに企業は、どのようなことを準備しておけば良いのだろうか。実務対応としては、4つの事項での対応が必要と考えられる。それぞれの事項について整理していきたい。
- 事前の体制づくり
- 従業員教育
- 委託契約の見直し
- リスクの低減
事前の体制づくりの一環として、マニュアルなどの作成と従業員への周知が必要である。個人情報漏えい事案が発生した場合、社員はどの部署に報告し、担当する部門の誰が個人情報保護委員会や本人への通知をするかなどの役割分担を含めて、あらかじめこれらの手順を作成しておくことで迅速な対応をすることができる。まずは、自社がどのような対応を行うことになっているのかを確認することが肝要である。主な確認しておくべき事項を下記に列挙する。
- 現行の社内規定やプライバシーポリシー等の記載内容
- 個人情報漏えい時の対応フロー
- 個人情報漏えい時の対応状況
現状を確認した上で、改めて、漏えい事案発生、または、おそれがある場合のフローやどのようなルートで個人情報保護委員会への報告、および、本人通知を行うかを検討する必要がある。また、迅速な対応を行うため、漏えい事案が発生した際に、相談できる先やフォレンジック調査会社を探しておくことが望ましい。
次に従業員教育として、自社内の体制を従業員に周知徹底することが挙げられる。漏えい事案の大小問わず、漏えい事案が発生した、または、おそれがある場合に誰に報告しなければならないのかを周知しておく必要がある。漏えいを認知した現場担当者に個人情報保護委員会への報告が必要な事案か否かを判断させることはリスクであるためだ。また、システム部門や個人情報を扱う部署では、訓練を行い、漏えい事案が発生した場合に備えておくことが必要である。
委託契約の見直しでは、委託先で情報漏えいが発生した、または、おそれがある場合にその旨を委託元へ通知することを規定上においても定めておくことが望ましい。委託元への通知義務や漏えい事案発生、または、おそれを認識した場合ただちに報告することや委託元の要請に応じた事項の報告義務などを追加することが挙げられる。個人情報保護委員会への報告義務がある事案が発生した場合に、迅速に対応するためにこれらを準備しておくことが望ましい。
最後にリスク低減として、データベースの所在を把握する必要がある。報告等の対象となる事象に含まれる「要配慮個人情報」や「不正利用による財産的被害のおそれのある情報」、「1,001人以上の個人に関する情報」がどこに、どのように管理されているのか確認する。そして、保管期間の策定や不要なものについては削除する、アクセス権限の制限などの対策を講じておくことで、リスクを低減させることができる。特に「要配慮個人情報」や「財産的被害のおそれのある情報」は、不注意による漏えいでも意図的なものであったとしても、1件漏えいしたら報告等の対象となる。そのため、どのデータには何の情報が入っているのかを把握しておくことが肝要である。また、個人データの仮名化、匿名化、暗号化によって、漏えいしてはいけないデータを減らすことも対策として考えられる。
5.さいごに
本稿では、個人情報漏えい事案における改正個人情報保護法の影響を中心に整理してきた。報告等をしなければならない漏えいが発生することを想定して、社内体制を準備しておくことが必要だ。個人情報保護法の法定刑が、2020年12月12日より引き上げられており、個人情報保護委員会からの命令への違反では法人等は「1億円以下の罰金」、個人情報保護委員会への「虚偽報告」などでは、法人等は「50万円以下の罰金」が科せられることとなっている。まずはどこに、どのように個人情報が保存されているのか明確にし、対策を講じることが肝要である。また、本稿では改正個人情報保護法による影響の一部分について述べてきたため、事業者において対応が必要な事項は他にもある。そのため、施行までに、社内の個人情報管理について体制面と運用面において両方の側面で見直し・検討が必要である。少しでも本稿が参考になれば幸いである。また、対応方法の検討に関して、クレジットカード情報の漏えい対応については「クレジットカード情報の漏洩対応について~ECサイトを中心に~」で詳細に紹介されているので併せてご一読していただきたい。