外部からの不正アクセスにより、社内の個人情報が漏えいした可能性がある場合、どのような対応が必要になるのでしょうか。突然の事態に慌てることのないよう、本コラムにて必要な対応を解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

  個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

  平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

   個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 外部からの不正アクセスがあった時の対応

1 結論

外部からの不正アクセスにより、社内の個人データが漏えいした可能性がある場合には、個人情報保護委員会への報告や、本人への通知が必要になります。

2 個人情報保護委員会への報告

(1) 報告義務があるケース

個人情報取扱事業者は、次の①から④までに掲げる事態を知ったときには、個人情報保護委員会への報告をしなければなりません(個人情報保護法26条)。

① 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態

② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

④ 個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態

不正アクセス等により個人データが盗まれてしまう場合は、上記の③に該当することになります。

なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合など、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告する必要はありません。

(2) 報告の内容

個人情報取扱事業者は、報告の対象となる事態を知ったときは、個人情報保護委員会に対して、以下の内容を報告しなければなりません。

①概要

発生した事態の概要について、発生日、発覚日、発生事案、発見者、上記の各号のうちどれに該当するか、委託元及び委託先の有無、事実経過などを報告します。

②漏えい等が発生し、又は発生したおそれがある個人データの項目

漏えい等が発生した(又は発生したおそれがある)個人データの項目について、媒体や種類(顧客情報なのか従業員情報なのか等)とともに報告します。

③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数

漏えい等が発生した(又は発生したおそれがある)個人データに係る本人の数を報告します。

④原因

そのような事態が発生した原因について報告します。報告者又は委託先のどちらにおいて発生したのかについても報告します。

⑤二次被害又はそのおそれの有無及びその内容

 生じた事態に起因して発生する被害又はそのおそれの有無、内容について報告します。

⑥本人への対応の実施状況

 事態を知った後、本人に対して行った措置や通知の実施状況について報告します。

⑦公表の実施状況

 事態の公表の実施状況について報告します。

⑧再発防止のための措置

 漏えい等事案の再発防止措置について、すでに実施したものと、これから実施する予定のものを分けて報告します。

⑨その他参考となる事項

 上記の①~⑧の他、事態を把握する個人情報保護委員会にとって参考となる事項があれば、報告します。

報告は、すみやかに実施する「速報」(事態の発覚から、目安として3~5日以内)と、調査後に詳細を報告する「確報」(同じく、不正アクセスの場合には60日以内)の二段階があります。

3 本人への通知

不正アクセスによる漏えい等の事案が発生した場合には、個人情報取扱事業者は、個人情報保護委員会への報告だけでなく、本人への通知も行う必要があります。

この本人への通知は、速やかに行われなければなりません。具体的に通知を行う時点は、個別の事案に応じて、その時点で把握している事態の内容や、通知により本人の権利利益が保護される蓋然性、生じる弊害など、いろいろな事情を勘案して判断されます。

したがって、現時点で本人への通知をすると、かえって被害が拡大するおそれがある場合や、混乱が生じるおそれがある場合には、その時点では通知を行う必要はなく、その後の状況に応じて、速やかに本人への通知を行うことになります。

なお、連絡先がわからない等の事情によって、本人への通知が困難な場合には、本人の権利利益を保護するために必要な代替措置(例えば、事案の公表、問い合わせ窓口の設置等)を講ずることによる対応が認められます。

第3 最後に

不正アクセスのように、個人の権利利益が侵害されるおそれの大きい漏えい等の事態については、個人情報保護委員会への報告が義務付けられており、かつ、本人への通知も必要になります。

また、場合によってはマスコミ等により大きく報道されることもあります。迅速かつ適切に対応しなければ、企業にとって致命的なダメージとなる可能性すらあります。

個人情報の漏えい等の事案についてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。

ご相談
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
  ※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士

弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治

弁護士のプロフィールはこちら