個人情報保護法のガイドライン改正
個人情報保護法が昨年改正されました。施行は令和4年4月1日ですが,これに向けて,改正後のガイドラインが公布されました。
大きな改正点の一つが,漏えい等の際の個人情報保護委員会への報告,本人に対する通知の義務化です。今回は,この点に関するガイドラインの定めをご紹介します。
改正前(現行)の個人情報保護法においては,漏えい等が起こった際は,「速やかに報告するよう努める」とだけされており,報告することは義務づけられていませんでした。改正法では,漏えい等(漏えい,滅失,毀損)がなされた場合で,次のいずれかに該当する場合は,個人情報保護委員会へ報告することが義務づけられます。
- 要配慮個人情報が含まれる個人データの漏えい等が発生し,または発生したおそれがある事態
ガイドラインでは,従業員の健康診断の結果を含む個人データが漏えいした場合などがあげられています。 - 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し,または発生したおそれがある事態
ガイドラインでは,ECサイトからクレジットカード番号を含む個人データが漏えいした場合などがあげられています。 - 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し,または発生したおそれがある事態
ガイドラインでは,不正アクセスにより個人データが漏えいした場合などがあげられています。 - 個人データに係る本人の数が千人を超える個人データの漏えい等が発生し,または発生したおそれがある事態
「おそれ」というのはなかなか判断が難しいと考えられますが,ガイドラインでは,サイバー攻撃事案における「おそれがある事態」の例も示されています。
(ア)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合
(イ)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感 染が確認された場合
(ウ)マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&C サーバ)が使用しているものとして知られている IP アドレス・ FQDN(Fully Qualified Domain Name の略。サブドメイン名及びドメイン名からなる文字列であり、ネットワーク上のコンピュータ(サーバ等)を特定するもの。)への通信が確認された場合
(エ)不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合
報告は,速やかに(3~5日以内)行う「速報」と,原則30日以内に行う「確報」とがあります。確報時に判明していない事項があるときは,順次報告を追完していくことになるでしょう。
また,事態の状況に応じて速やかに本人への通知を行わなければなりません。「事態の状況に応じて」というのは,これまた判断の難しい表現です。ガイドラインでは,初期対応が完了しておらず,本人に通知することでかえって被害が拡大するおそれがある場合などは,その時点で通知を行う必要があるとはいえないと考えられるとされています。
なお,以上により報告義務がないと考えられる場合であっても,これまで通り任意に報告を行うことは妨げられません。
漏えい等の事故が起こったときに,どう対応すべきか迷われたら,まずはご相談ください。