SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは

情報漏えい時の義務や罰則強化 システム部門と事業者が留意すべき改正個人情報保護法のポイント

第5回:情報漏えい時の義務や事業者の罰則強化など

 前回は、「請求範囲の拡大」「開示方法の指示」「第三者提供記録の開示請求」を中心に、システム部門に求められる対応について確認しました。今回は、漏えい時の義務や事業者の罰則強化に焦点を当てて解説します。

漏えい時の義務や、事業者の罰則が強化された

漏えい等の発生時に個人情報保護委員会への報告および本人への通知が義務化された(法第22条の2関係)

  • 改正前:個人データの漏えい等またはそのおそれのある場合、個人情報取扱事業者による個人情報保護委員会への報告は「努力」義務レベルでした。また、本人への通知も実施が「望ましい」レベルであり、いずれも義務ではありませんでした。
  • 改正後:個人情報取扱事業者は、個人データの漏えい等またはそのおそれのある場合で、以下いずれかのような個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告及び本人への通知が「義務」となりました。
    • 要配慮個人情報が含まれる場合
    • 不正利用されることで財産的被害が生じるおそれがある場合
    • 不正な目的で漏えい等が発生した場合
    • (漏えいした個人データの)本人の数が1,000人を超えている可能性がある場合
個人データ漏えい等の際の義務
個人データ漏えい等の際の義務
[画像クリックで拡大]

解説

 ここでは、個人情報保護委員会への報告と本人への通知をそれぞれ分けて解説します。

個人情報保護委員会への報告

 個人情報保護委員会への報告には、速報と確報の2種類があります。ガイドラインによると、速報は、漏えい等が発生したのを知った時点から概ね3~5日以内、確報は30日以内に報告しなくてはなりません。

 なお、確報では以下の事項を報告する必要があります。

  1. 概要
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目
  3. 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
  4. 原因
  5. 二次被害またはそのおそれの有無およびその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項
漏えい等またはその可能性のある場合の報告
漏えい等またはその可能性のある場合の報告
[画像クリックで拡大]

 個人情報保護委員会のホームページに報告フォームや記入例が公開されており、これらを利用することができます。なお、確報を行う時点で合理的努力を尽くしたにもかかわらず一部の事項が判明していない場合は、その時点で把握している内容を報告し、残りが判明したら後で追加報告をする必要があります。

 また、個人データの取り扱いを委託している場合、原則として委託元と委託先の双方が報告する義務を負いますが、委託元が委託先に先に通知した場合、委託先は報告義務を免除されます。

本人への通知

 ガイドラインによると、本人には以下の事項を通知する必要があります。具体的な時間制限は示されておらず、当該事態の状況に応じて速やかに行うものとされています。

  1. 概要
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目
  3. 原因
  4. 二次被害またはそのおそれの有無およびその内容
  5. その他参考となる事項
本人への通知
本人への通知
[画像クリックで拡大]

 通知の様式は法令上定められていませんが、本人にとって分かりやすい形で通知することが望ましく、例として文書を郵便等で送付することや、電子メールで送信することが示されています。口頭による通知も可能ですが、本人が口頭で通知を受けた内容を事後的に確認できるようにする観点から、必要に応じて書面または電子メール等による通知を併用することが望ましいです。

 どうしても本人への通知が困難な場合は、代替措置として漏えい等が発生した事案を公表することや、コールセンターのような問い合わせ窓口を用意して連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすることが考えられます。

補足

 なお、以下の事項については、改正前と変わりません。

  • 個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません
  • 個人データについて、高度な暗号化やその他の個人の権利利益を保護するために必要な措置が講じられている場合については、報告を要しません
  • また、漏えい等について、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは本人への通知は不要となります

システム部門が対応するべきこと

 システム部門では、以下の対応が必要です(ユーザー部門が自ら行う。もしくはユーザー部門の依頼に応じて対応する場合もあります)。

  • 個人情報保護委員会への報告事項や本人への通知事項に関する以下のシステム面、技術面の情報収集や分析、提供の作業
    • 本当に漏えい等が発生したかどうかの確認
    • 漏えい等した個人データの項目、人数の確認
    • 漏えい等の原因の確認
    • 二次被害の有無やその内容の確認
  • 本人への通知の実施に当たって必要なシステム面、技術面の対応
  • 漏えい等の再発防止措置に関するシステム面、技術面の検討
  • 社内のインシデント対応手順におけるシステム部門のアクション明文化および定期的な訓練

 なお、漏えい等における公表や通知は、インシデント対応(事故対応)のごく一部にすぎません。インシデント対応として必要な事項は非常に幅広く、個人情報保護委員会では漏えい等事案が発覚した場合に講ずべき措置として、以下の対応が望ましいとしています。

  1. 事業者内部における報告及び被害の拡大防止
  2. 事実関係の調査及び原因の究明
  3. 影響範囲の特定
  4. 再発防止策の検討及び実施
  5. 影響を受ける可能性のある本人への連絡等
  6. 事実関係及び再発防止策等の公表

 これらの対応を自社だけで実施するには、リソースや技術力等の面で難しい場合もあります。そのため一部を外注することも視野に入れる必要があります。

 なお、インシデント対応で外注できるサービスや費用感については、JNSA(日本ネットワークセキュリティ協会)「インシデント損害額調査レポート 2021年版」が参考になります。

次のページ
虚偽報告等における法定刑も引き上げ

NEXT

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは連載記事一覧

もっと読む

この記事の著者

戸田 勝之(トダ カツユキ)

NTTデータ先端技術株式会社 セキュリティ事業本部 セキュリティコンサルティング事業部 担当課長 大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。リスクアセスメント、セキュリティ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15329 2022/01/07 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  4. 4
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  5. 5
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  6. 6
    ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  9. 9
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  10. 10
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  4. 4
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  5. 5
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  6. 6
    ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  9. 9
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  10. 10
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは