EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

情報漏えい時の義務や罰則強化 システム部門と事業者が留意すべき改正個人情報保護法のポイント 第5回:情報漏えい時の義務や事業者の罰則強化など

  2022/01/07 08:00

 前回は、「請求範囲の拡大」「開示方法の指示」「第三者提供記録の開示請求」を中心に、システム部門に求められる対応について確認しました。今回は、漏えい時の義務や事業者の罰則強化に焦点を当てて解説します。

漏えい時の義務や、事業者の罰則が強化された

漏えい等の発生時に個人情報保護委員会への報告および本人への通知が義務化された(法第22条の2関係)

  • 改正前:個人データの漏えい等またはそのおそれのある場合、個人情報取扱事業者による個人情報保護委員会への報告は「努力」義務レベルでした。また、本人への通知も実施が「望ましい」レベルであり、いずれも義務ではありませんでした。
  • 改正後:個人情報取扱事業者は、個人データの漏えい等またはそのおそれのある場合で、以下いずれかのような個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告及び本人への通知が「義務」となりました。
    • 要配慮個人情報が含まれる場合
    • 不正利用されることで財産的被害が生じるおそれがある場合
    • 不正な目的で漏えい等が発生した場合
    • (漏えいした個人データの)本人の数が1,000人を超えている可能性がある場合
個人データ漏えい等の際の義務
個人データ漏えい等の際の義務
[画像クリックで拡大]

解説

 ここでは、個人情報保護委員会への報告と本人への通知をそれぞれ分けて解説します。

個人情報保護委員会への報告

 個人情報保護委員会への報告には、速報と確報の2種類があります。ガイドラインによると、速報は、漏えい等が発生したのを知った時点から概ね3~5日以内、確報は30日以内に報告しなくてはなりません。

 なお、確報では以下の事項を報告する必要があります。

  1. 概要
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目
  3. 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
  4. 原因
  5. 二次被害またはそのおそれの有無およびその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項
漏えい等またはその可能性のある場合の報告
漏えい等またはその可能性のある場合の報告
[画像クリックで拡大]

 個人情報保護委員会のホームページに報告フォームや記入例が公開されており、これらを利用することができます。なお、確報を行う時点で合理的努力を尽くしたにもかかわらず一部の事項が判明していない場合は、その時点で把握している内容を報告し、残りが判明したら後で追加報告をする必要があります。

 また、個人データの取り扱いを委託している場合、原則として委託元と委託先の双方が報告する義務を負いますが、委託元が委託先に先に通知した場合、委託先は報告義務を免除されます。

本人への通知

 ガイドラインによると、本人には以下の事項を通知する必要があります。具体的な時間制限は示されておらず、当該事態の状況に応じて速やかに行うものとされています。

  1. 概要
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目
  3. 原因
  4. 二次被害またはそのおそれの有無およびその内容
  5. その他参考となる事項
本人への通知
本人への通知
[画像クリックで拡大]

 通知の様式は法令上定められていませんが、本人にとって分かりやすい形で通知することが望ましく、例として文書を郵便等で送付することや、電子メールで送信することが示されています。口頭による通知も可能ですが、本人が口頭で通知を受けた内容を事後的に確認できるようにする観点から、必要に応じて書面または電子メール等による通知を併用することが望ましいです。

 どうしても本人への通知が困難な場合は、代替措置として漏えい等が発生した事案を公表することや、コールセンターのような問い合わせ窓口を用意して連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすることが考えられます。

補足

 なお、以下の事項については、改正前と変わりません。

  • 個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません
  • 個人データについて、高度な暗号化やその他の個人の権利利益を保護するために必要な措置が講じられている場合については、報告を要しません
  • また、漏えい等について、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは本人への通知は不要となります

システム部門が対応するべきこと

 システム部門では、以下の対応が必要です(ユーザー部門が自ら行う。もしくはユーザー部門の依頼に応じて対応する場合もあります)。

  • 個人情報保護委員会への報告事項や本人への通知事項に関する以下のシステム面、技術面の情報収集や分析、提供の作業
    • 本当に漏えい等が発生したかどうかの確認
    • 漏えい等した個人データの項目、人数の確認
    • 漏えい等の原因の確認
    • 二次被害の有無やその内容の確認
  • 本人への通知の実施に当たって必要なシステム面、技術面の対応
  • 漏えい等の再発防止措置に関するシステム面、技術面の検討
  • 社内のインシデント対応手順におけるシステム部門のアクション明文化および定期的な訓練

 なお、漏えい等における公表や通知は、インシデント対応(事故対応)のごく一部にすぎません。インシデント対応として必要な事項は非常に幅広く、個人情報保護委員会では漏えい等事案が発覚した場合に講ずべき措置として、以下の対応が望ましいとしています。

  1. 事業者内部における報告及び被害の拡大防止
  2. 事実関係の調査及び原因の究明
  3. 影響範囲の特定
  4. 再発防止策の検討及び実施
  5. 影響を受ける可能性のある本人への連絡等
  6. 事実関係及び再発防止策等の公表

 これらの対応を自社だけで実施するには、リソースや技術力等の面で難しい場合もあります。そのため一部を外注することも視野に入れる必要があります。

 なお、インシデント対応で外注できるサービスや費用感については、JNSA(日本ネットワークセキュリティ協会)「インシデント損害額調査レポート 2021年版」が参考になります。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 戸田 勝之(トダ カツユキ)

    NTTデータ先端技術株式会社 セキュリティ事業本部 セキュリティコンサルティング事業部 担当課長 大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。リスクアセスメント、セキュリティ監査、ISMS構築、個人情報保護、インシデント対応、脅威インテリジェンス等、多様な案件に従事。技術とマネジメントの両面の視点で企業のセキュリティ課題解決の支援を行っている。 CISSP、CEH、CISA、情報セキュリティスペシャリスト JNSA(日本ネットワークセキュリティ協会)インシデント被害調査WGメンバー  

バックナンバー

連載:【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは
All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5