個人データを、ビジネスを守る、IIJ

個人情報保護委員会 改正個情法による漏洩報告義務の考え方を示す


漏洩等報告及び本人通知

日本の個人情報保護委員会(PPC)は、2020年10月30日に開催された第156回個人情報保護委員会の議事次第や配布資料を公開した。
その中の議題1「改正法に関連する政令・規則等の整備に向けた論点について(漏洩等報告及び本人通知)」では、改正個人情報保護法22条の2において漏洩等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告・本人への通知を義務化し、対象となる事態、委員会への報告・本人への通知の方法等については、委員会規則で定めるとしており、今回の配布資料においては、義務化される委員会への報告・本人への通知について
① 漏洩等報告・本人通知の対象となる事態
② 報告の時間的制限・報告事項
③ 本人通知の時間的制限・通知事項
④ 委託先から委託元への通知方法
⑤ その他
を検討すべき主な論点として挙げ、それぞれについて方向性を示している。

 ① 漏洩等報告・本人通知の対象となる事態

漏洩等した個人データの性質・内容、漏洩等の態様、漏洩等の事態の規模等を考慮し、個人の権利利益に対する影響が大きいと考えられる事態を定めるものとし、以下の方向性を示している。

ア、 対象となる事態の類型について、「個人データの性質」では要配慮個人情報に該当するもの、「個人データの内容」ではクレジットカード情報の漏洩のような財産的被害が発生するおそれがある場合、「漏洩等の態様」では不正アクセスや従業員による持ち出し等故意によるもの、を対象とする
イ、 大規模な漏洩等の基準について1000人を基準にするのが良い
ウ、 漏洩等の「おそれ」がある場合についても報告・本人通知の対象とする
エ、 高度な暗号化等の秘匿化がされた個人データについては、漏洩等報告・本人通知の対象外となる場合を認める

 ② 報告の時間的制限・報告事項

速報と確報の二段階とした上で、以下の方向性を示している。

ア、 速報段階

  • 「速やかに」と定めた上で、その目安をガイドラインで示す
  • その時点で把握している事項を報告対象とする

イ、 確報段階

  • 報告が求められる事項全ての報告をする
  • 一定の時間的制限(例えば30日)を設け、不正の目的をもって行われた行為による漏洩等については例えば60日としてはどうか

 ③ 本人通知の時間的制限・通知事項

本人通知の趣旨は、通知を受けた本人が漏洩等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにあることから、

  • 本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はない
  • 通知事項について、本人が事態を適切に理解するために必要な事項を規則で定めた上で、通知方法と併せて、本人にとってわかりやすい形となるようガイドライン等で例示すべき

という方向性を示している。

 ④ 委託先から委託元への通知方法

委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負い、あらかじめ委託元と委託先の間で報告義務や本人通知の対応を決めておくことが適切である。その上で、

  • 委託先の委託元への通知は速やかに、委員会に速報として報告する場合と同じ事項を通知する
  • 委託先が委託元に速やかに通知を行うことで、委託先の委員会への報告義務自体は免除する
  • 報告義務自体が免除されても、委託先は、引き続き、漏洩等事案について適正に対処し、実態把握を行うとともに、漏洩等報告にも協力する必要がある旨、ガイドライン等で明確化する

という方向性を示している。

 ⑤その他

他にも

  • 漏洩等報告の対象とならない事案も任意の報告ができるようにすべき
  • 認定個人情報保護団体の報告や通知への関与の在り方を検討する必要があり、委員会も認定個人情報保護団体の活動について望ましい取り組みの方向性を示すべき
  • 諸外国のデータ保護機関間で漏洩等事案の傾向が情報共有され、執行に活用されている取組に積極的に貢献すべき

という方向性も示している。

 

【PPC 改正法に関連する政令・規則等の整備に向けた論点について(漏洩等報告及び本人通知)】
https://www.ppc.go.jp/files/pdf/201030_shiryou-1.pdf

関連情報

コンテンツ

改正個人情報保護法関連コンテンツ

サービス

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします

関連記事