漏えい等報告・本人への通知が義務化。企業側が対応すべきポイントは？

2022年4月から改正個人情報保護法（令和2年改正法）が施行され、個人情報の漏えい等報告および本人への通知が義務化されたことをご存じでしょうか。個人データを多く収集してビジネスを展開している企業にとっては、適切なリスク管理を行うという意味でも、法改正の内容に合わせた体制作りが不可欠といえます。

そこで今回は、漏えい等報告・本人への通知が義務化されたことをテーマとし、その具体的な内容と企業が取るべき対策のポイントなどについて詳しく解説しましょう。

漏えい等報告および本人への通知の義務化とは？

2020年6月に国会で可決され、2022年4月から施行される改正個人情報保護法には注目すべきポイントが多数ありますが、その中でも最大のものが漏えい等報告および本人への通知の義務化に関する規定です。

これは、2022年4月１日より、個人データの漏えい等が起こり、個人の権利利益を害する恐れがあると考えられる場合に、個人情報保護委員会への報告と本人への通知を義務化するという内容です。

それまでの個人情報保護法では、たとえ個人データの漏えいが生じても、個人情報保護委員会への報告は努力義務とされ、正式に義務化されていませんでした。

そのため、実際に漏えいが起こっても、公的機関である同委員会に報告をしないという事業者が一定数存在していて、行政として適切な対応策を考えにくいという状況が生じていたのです。

個人情報の漏えいが起こったときは、再発を防止する取り組みが欠かせません。日本では行政機関である個人情報保護委員会が、事実関係を速やかに把握し、必要な対策を考える役割を担っています。その役割・機能をより適切に果たせるようにすべく制度化されたのが「漏えい等報告の義務化」であるわけです。

一方、漏えいの対象となった個人に対しても、その権利利益を保護するための対策を速やかに取れるように、「本人への通知の義務化」が規定されました。本人としても、個人データが漏れていることを知らずに何ら対策を採らないままでいるよりも、通知を受けて速やかに対応策を考えた方が、情報が悪用される可能性を減らせるでしょう。

「個人の権利利益を害する恐れがある」とはどのような場合か

今回の改正法では、個人情報委員会への報告と本人への通知が必要となるのは、個人の権利利益が害される恐れがある場合です。その具体的な内容としては、以下の四つのケースが考えられています。

●要配慮個人情報が含まれる事態

要配慮個人情報とは、「病歴に準じるもの」（診療情報、調剤情報、健康診断の結果、保健指導の内容、障害、ゲノム情報など）、「犯罪の経歴に準じるもの」（被疑者または被告人として刑事訴訟法にもとづく手続きを受けた事実、少年保護事件の手続きを受けた事実など）が該当します。

●財産的被害が生じる恐れがある事態

典型例としてはクレジットカード番号の漏えい、ネット銀行のIDやパスワードの漏えいなどです。こうした情報が漏れると、本人の財産に被害が生じる恐れがあります。

●不正目的で行われた漏えいが発生した事態

漏えいが過失で生じた場合に比べて、不正アクセスやランサムウェアによって漏えいが生じた場合は、その後に個人情報が悪用される危険性が高いです。ランサムウェアとは、コンピューター・ウイルスに感染させて使用不能にした上で、その回復と引き換えに代金を要求する悪意あるソフトウェアのことです。

●1,000人以上分の個人情報の漏えい等が発生している事態

人為的またはシステム上のミス・誤作動により、ネット上で1,000人以上分の個人情報が閲覧できる状態となった場合です。

以上四つのいずれかに該当する情報漏えいが生じた場合、漏えいした企業（個人情報取扱事業者）は3～5日以内に個人情報保護委員会への報告を行う必要があります。漏えい等の報告は、個人情報保護員会のホームページから行えます。

本人への通知の仕方は？

今回の改正法では個人情報保護委員会への報告だけでなく、本人への通知も義務化されています。

本人に通知する場合は、漏えい事態の状況に応じてできるだけ早くに行い、起こったことの概要と流出した個人データの項目、さらに発生原因などの原因などを伝えます。ここでのポイントは、本人にとって分かりやすい表現・内容で通知することです。

通知方法としては、本人に対しては文書の郵送または電子メールの送信による方法が認められています。もし本人への通知が難しいときは、ホームページでの発表、または専用の問い合わせ窓口を設置してそちらに連絡をしてもらうなどの代替措置を講ずることが可能です。

企業側が取るべき対策のポイント

企業側としては、個人情報の保護を目的とするセキュリティ対策を常にアップデートし続けることはもちろんですが、漏えいが発生した事態を想定した報告体制の整備、訓練をしておくことも重要です。

たとえば、今回の法改正では、個人情報保護委員会への報告は「速報としておおむね3～5日、確報としては30日以内」との内容も記載されています。企業側としては万が一個人データの漏えいが起こった場合、この期日で起こった状況を把握し、整理できる体制を整えておく必要があるわけです。

また、本人への通知義務についても、個人情報の漏えいデータ数が大規模になると、通知対象者もまた大規模化します。どれだけの漏えいが生じたときに、どのような対応をすべきなのかを、社内規定・対応プロセスの見直しも含めて検討する必要があるでしょう。

まとめ

漏えい等報告・本人への通知の義務化とは、改正個人情報保護法（令和2年改正法）に基づき、個人データの漏えい等が起こり、個人の権利利益を害する恐れがあると考えられる場合に、個人情報保護委員会への報告と本人への通知を義務づけるという新制度のことです。

個人情報を扱う企業側としては、セキュリティ対策と並行して、もし漏えい等が起こったときに適切に対処できるよう体制作りを進めておく必要があります。新制度に対応できるように、社内研修などを通して社員に教育を施しておくことも有効でしょう。