個人情報保護法による規定
令和2年の個人情報保護法の改正により、個人情報取扱事業者等は、個人の権利利益を害する恐れが大きいものとして個人情報保護委員会規則で定められたものが生じたときは、個人情報保護委員会への報告および本人へ通知することが義務とされました(個人情報保護法第26条)。
そして、漏洩した際に報告が義務付けられるものとして個人情報保護委員会規則で定められているものとして、本人数が1人でも報告の対象となるものが
① 要配慮個人情報が含まれる場合
② 不正に利用されることにより財産的被害が生じるおそれがあるもの
③ 不正アクセスなど不正の目的を持って行われたおそれがあるもの
となります(個人情報保護委員会規則第7条1号〜3号)。
このように、報告が必要となる事態に該当するか否かを確定することができない場合であっても、そのおそれがある場合にも個人情報保護委員会への報告が求められます。
そのうえで、個人情報保護委員会が事態を早急に把握して必要な措置を講じることが予定されています。
同様に、本人に対する通知についても、本人の権利利益保護の観点から、漏えい等の対象となったおそれがある場合には、本人に対する通知が求められます。
また、民間部門の場合で本人数が千人超の場合(同3号)、公的部門の場合で本人数が百人超の場合(個人情報保護法第68条・個人情報保護委員会規則第43条4号)にも、報告義務が課されています。
報告の期限
漏えい等を報告する際の期限については、速報と確報の二段階に分かれています。
まず、漏えい等が発覚した場合には、当該事態を知った後、報告内容をその時点で報告できる内容に限定したうえで、個人情報保護委員会に対して速やかに報告しなければなりません(個人情報保護委員会規則第8条1項)。
また、確報については、当該事態を知った日から30日以内に個人情報保護委員会へ報告しなければなりません(同条2項)(なお、不正の目的をもって行われたおそれがある個人データの漏えい等の発生・発生のおそれについては60日以内とされています)。
個人情報保護委員会作成の資料(令和4年度 年次報告)によると、令和4年度の漏えい等の事案に関する報告の処理件数は7,685件と、前年度の5,846件を上回っています。
また、「令和5年度上半期における個人情報保護委員会の活動実績について」によると、個人データの漏えい等事案の報告の処理件数は3,154件と前年度上半期の1,587件を上回っています。
個人情報保護委員会の対応
個人情報保護委員会の権限として、以下の内容が定められています。
報告徴収・立入検査等
個人情報保護委員会は、個人情報取扱事業者等に対して、必要な報告・資料の提出(報告徴収)、立入検査(職員に必要な場所への立ち入り、個人情報等の取扱いに関する質問、帳簿書類その他の物件の検査)を行うことができます(個人情報保護法第146条)。
個人情報保護委員会作成の資料(令和4年度 年次報告)によると、令和4年度の報告徴収は176件件と、前年度の407件を下回っています。また、立入件数は26件と、前年度の30件をこちらも下回っています。
次に、「令和5年度上半期における個人情報保護委員会の活動実績について」によると、報告徴収は60件と、前年度上半期の62件を下回っています。また、立入件数は165件と、前年度上半期の30件を大きく上回っています。
指導・勧告・命令等
個人情報保護委員会は、必要な限度において、個人情報取扱事業者等に対して、個人情報等の取扱いに関し必要な指導及び助言をすることができます(個人情報保護法第147条)。
また、個人情報取扱事業者が個人情報保護法の規定に違反した場合において個人の権利利益を保護するために必要があると認めるときは、当該個人情報取扱事業者等に対し、当該行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができます(個人情報保護法第148条1項)。
さらに、勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができます(個人情報保護法第148条2項)。
加えて、個人情報保護取扱事業者等が個人情報保護法の規定に違反した場合において、個人の重大な権利利益を侵害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができます(個人情報保護法第148条3項)。
個人情報保護委員会作成の資料(令和4年度 年次報告)によると、令和4年度の指導及び助言が115件(前年度:217件)、勧告が1件(前年度:3件)、命令が1件(前年度:1件)となっています。
また、「令和5年度上半期における個人情報保護委員会の活動実績について」によると、指導及び助言が165件(前年度:30件)、勧告0件(前年度:1件)、命令0件(前年度:0件)となっています。
個人データや保有個人情報については、その取扱いを適切に行うことが必要ですが、万が一、上記のような漏えいが生じた場合には、迅速かつ的確な対応をとる必要があります。