2023年01月16日

個人情報保護法改正について

1 はじめに
個人情報保護法は,AI・ビックデータ時代と呼ばれる現代において,事業者によって個人情報が不適切に取り扱われることなくデータの利活用が行われるように,事業者等の遵守すべき義務などを定めた法律です。3年ごとに見直し・検討を行うこととされているため比較的頻繁に法改正がされており,令和4年4月1日には,大きな内容の変更を伴う改正個人情報保護法が施行されました。
今回は,その中でも,個人情報漏えい時に事業者が採るべき対応に関連する重要な改正点を中心にご紹介します。

2 個人情報保護委員会への報告義務
(1) 改正前について
改正前は,個人情報(正確には「個人データ」,すなわち個人情報を検索可能なものとして体系的にまとめたデータベース等を構成する個人情報の漏えいですが,本稿ではこれを区別せずに「個人情報の漏えい」と言うことがあります)の漏えいが発生した場合,個人情報保護委員会への報告義務は法定されておらず,努力義務にとどまっていました。
しかし,この度の改正により,「個人データの漏えい,滅失,毀損その他の個人データの安全確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」が生じた場合,個人情報取扱事業者による個人情報保護委員会への報告が法定され義務化されました(法第26条1項)。

(2) 報告義務が生じる場合について
それでは「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」とはどういったものなのかというと,以下に列挙するいずれかの漏えい等が発生し,又は発生したおそれがある事態と定められています(施行規則第7条)。
①要配慮個人情報が含まれる個人データの漏えい等
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
③不正の目的をもって行われたおそれがある個人データの漏えい等
④個人データに係る本人の数が千人を超える漏えい等
つまり,多くの場合には報告義務があり,明らかに報告義務はないと言えるのは相当限定的な場合であることが分かります。

(3) 報告期限について
報告期限については,いわゆる速報と確報の2種類が想定されています。速報は「速やかに」(施行規則8条1項),すなわち,漏えい発生から約3~5日以内とされています。確報は,原則,漏えい発生から30日以内(同2項)です。

(4) 報告の方法について
報告の方法については,個人情報保護委員会のHPに所定の書式が用意されているので,これを利用します。
https://www.ppc.go.jp/personalinfo/legal/leakAction/
ただし,事業者の事業分野によっては,個人情報保護委員会から権限の委任(法147条1項)がなされ,個人情報保護委員会以外の組織が報告先となっている場合があるので,確認が必要です。

3 本人への通知義務
(1) 改正前について
個人情報保護委員会への報告義務と同様に,本人への通知についても努力義務でしかなかったものが,法定され義務化されました。具体的には「前項に規定する場合(註:個人情報保護委員会への報告義務が生じる場合)には、個人情報取扱事業者(…略…)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」と規定されました。

(2) 通知義務が生じる場合について
基本的には,上記2(2)で述べた個人情報保護委員会への報告義務が生ずる場合は,本人への通知義務が生じます。ただし,例外的に「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき」は本人への通知義務はありません。
「本人への通知が困難な場合」というのは,連絡先が分からないとか,把握している連絡先が繋がらないといった場合です。「本人の権利利益を保護するため必要なこれに代わるべき措置」というのは,例えば会社のHPに漏えいの可能性を記載し,本人による確認のための問い合わせ窓口を用意するといった措置です。しかし,元々本人の住所や連絡先を全く知らないというケースはむしろ稀だと思われます。

(3) 通知期限について
「当該事態の状況に応じて速やかに」とされています(施行規則10条)。状況の把握や初期対応が未了で,通知することによって却って本人を混乱させたり被害が拡大するおそれがあるなど,本人へ通知するまでに一定程度の期間が空いたとしてもやむを得ない場合はあり得るでしょう。

(4) 通知の方法について
通知の方法に制限はなく口頭でも構いませんが,法律上の義務の履行にかかることなので,やむを得ない事情がない限りは文書送付やメールで対応する方が穏当です。

4 罰則の強化
個人情報保護委員会は,上記報告義務や通知義務を含む個人情報保護法上の様々な義務に違反した場合等に,事業者に対して,是正措置を採るよう勧告,命令することができ,その命令に違反した事業者には1年以下の懲役又は100万円以下の罰金が課されます(法173条)。また,個人情報保護委員会による報告徴収や立入検査を拒んだり,虚偽報告をした事業者は50万円以下の罰金が課されます(法177条)。いずれも改正によって増額されたものです。また,上記命令違反等について,改正前は法人と個人を分けることなく同じ罰金刑でしたが,法人に対する罰金刑については1億円以下の罰金とし(法179条),法人に対する高額な罰金制度が導入されました。

5 終わりに
以上,主に個人情報漏えい時の対応に関連する重要な改正点について見てきました。しかし,個人情報保護委員会への報告と言っても具体的にどのように何を報告するのか,本人への通知は具体的にどんなタイミングでどこまでのことを通知したら良いのかなど不明な点はたくさんあると思います。その詳細は,個人情報保護委員会の定めるガイドライン等を精読すれば分かるものもありますが,そもそも内容が膨大ですし,ガイドライン等を読んでも分からず対応に迷うことも多いでしょう。サイバー犯罪が頻発する現代においては,個人情報の漏えいは,あらゆる会社に起こりえる事態です。ひとたび発生してしまえば,本稿で述べた報告義務や通知義務だけでなく,漏えいの原因調査,社会への公表,再発防止策の策定等の難題に向き合うことになり,多額の賠償金を請求されるなどのリスクも抱えることになります。個人情報漏えいに関する事前対策,事後対応策については,是非,顧問弁護士等の弁護士にご相談ください。

関連記事