個人情報保護法のWEB弁護士相談 - 漏洩対応編 -

4. 個人情報の漏洩についての本人通知

個人情報の漏洩についての本人通知とは、個人情報の漏洩が生じたことを本人に通知することです。
個人情報保護法により、一定の類型に該当する漏洩事案では、本人通知を行わなければなりません。
本人通知が必要となる場合や、通知すべき事項について解説します。

インデックス
  • 業務内容

    お客様のクレジットカード番号を含む個人情報の漏洩が発覚しました。
    個人情報保護委員会への報告を行わなければならないのは理解していますが、お客様への本人通知も必要でしょうか?

    はい。
    個人情報保護委員会への報告が義務付けられている4類型のいずれかに該当する漏洩が発生した場合には、漏洩の対象となったご本人に対して通知を行わなければなりません。(個人情報保護法26条2項本文)
    クレジットカード番号を含む個人情報の漏洩については、「不正に利用されることにより財産的被害が生じるおそれがある個人情報の漏洩等」に該当しますから、個人情報保護委員会への報告が義務付けれらます。
    そのため、漏洩の対象となったお客様に対する本人通知の義務も発生することになります。
    個人情報保護委員会への報告が義務付けられている類型についての詳しい説明は、3.個人情報の漏洩についての当局報告の記事を参照してください。

    委託先において個人情報の漏洩が発生したときには、委託元と委託先のどちらが本人への通知義務を負うのですか?

    委託先で個人情報が漏洩した場合には、委託先と委託元の両方が通知義務を負うのが原則です。
    ただし、例外として、委託元に委託先が通知したときは、委託先は、本人への通知義務を免除されます。
    上記のルールの詳細は、当局報告と同じです。詳しい説明は、3.個人情報の漏洩についての当局報告の記事を参照してください。

    個人情報の漏洩が発生したときには、どのような事項を本人に通知したらよいのでしょうか?

    本人へ通知すべき事項は、以下の5項目です。(施行規則10条)
    個人情報保護委員会への当局報告事項9項目のうち5項目が本人通知事項にも含まれる、という関係になっています。

    1. 概要
    2. 漏洩等が発生し、または発生したおそれがある個人情報の項目
    3. 原因
    4. 二次被害またはそのおそれの有無及びその内容
    5. その他参考となる事項

    (参照:施行規則8条、10条、ガイドライン(通則編)3-5-4-3)

    「その他参考となる事項」とは何ですか?

    「その他参考となる事項」とは、本人への通知を補うため、本人にとって参考となる事項のことです。
    例えば、本人が二次被害から自分の権利利益を保護するために執ることができる措置が考えられます。
    架空請求や不正送金といった二次被害が考えられる場合には、具体的な手口と二次被害の予防策などを説明するとよいでしょう。

    個人情報保護委員会に報告した内容をそのままコピーすればよいのですね。

    いいえ、そうとは限りません。
    本人への通知は、「本人の権利利益を保護するために必要な範囲において」行うこととされています。(施行規則10条)
    例えば、個人情報保護委員会に報告した詳細な内容をそのまま通知するのではなく、必要な内容を抽出して、本人に関係する内容のみを通知することが有効です。
    とりわけ、今日では、通知した事項がそのままインターネットやSNS上で拡散されることを前提とした対応が求められます。
    文章の表現には細心の注意を払い、その時点で分かっている事項を正確に記載するように心がけましょう。

    本人通知はいつ行う必要があるのでしょうか?

    本人に対する通知は、漏洩の発生を知った後、事態の状況に応じて速やかに行わなければなりません。(施行規則10条)
    具体的に何日以内に通知を行うかについては、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される可能性、本人への通知を行うことで生じる弊害などを総合的に考えて判断するとされており、一律の基準はありません。(ガイドライン(通則編)3-5-4-2)
    その時点で通知を行う必要がない場合として、例えば、漏洩の状況がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合が挙げられます。(ガイドライン(通則編)3-5-4-2)

    個人情報の漏洩が発生したときには、どのような方法で本人に通知したらよいのでしょうか?

    個人情報保護法では方法に関する具体的な指定はありませんが、郵便の送付や電子メールの送信などの方法が一般的です。
    一般的には、本人にとって分かりやすい形で通知を行うことが望ましいとされています。(ガイドライン(通則編)3-5-4-4)
    口頭で知らせる方法も可能ですが、本人が通知を受けた内容を後から確認できるように、書面や電子メールなども併せて送ることが望ましいとされています。(Q&A6-26)

    お客様のお名前や連絡先の登録を事前に提供いただくとは限らないサービスの場合はどうすればよいでしょうか?
    本人通知の送付先が分からない状態になることがあり得ます。

    本人の連絡先を保有していない場合や保有している情報が古いために最新の連絡先が分からない場合など、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められています。(個人情報保護法26条2項但書、ガイドライン(通則編)3-5-4-5)
    代替措置としては、(1)事案の公表と、(2)問い合わせ窓口を用意して、その連絡先を公表し、本人が自らの個人情報が対象となっているかどうかを確認できるようにする方法が代表的です。(ガイドライン(通則編)3-5-4-5)

    個人情報保護法に基づいて通知すべき事項以外に、漏洩被害の対象となったお客様にはどのようなことをお伝えすればよいでしょうか?

    お客様へのお詫びを添えて通知をすることを検討しましょう。
    企業として情報管理に不十分な点があったのであれば、率直に謝罪・お詫びをお伝えし、お客様の信頼を損なう程度を最小限に抑えるように努めることが企業の社会的責任に応える対応であると言えます。

    お詫び文の作成には、どうも苦手意識があります。

    お詫びをお伝えする際は、何に対してお詫びをしているのかを明確にすることが重要です。
    その時点で判明している事実関係を同時に説明し、どのような点に企業としての対応不足があったかを率直にお伝えするようにしましょう。
    特に、外部からの不正アクセスの事案では、企業も被害者であるという一面がありますが、そのような心情がにじみ出た文書を発信してしまうと、お客様に不安を与えたり、被害感情を悪化させたりすることにつながりかねません。
    お客様がどのように受け止めるかを多角的に想像して文章を作成するようにしましょう。

    お詫びを伝えることで、企業としての法的責任を認めたと解釈され、後日の紛争において不利に取り扱われないかが心配です。

    謝罪・お詫びをお伝えすることは、必ずしも漏洩を発生させた企業に法的な責任があることを認めたことにはなりません。
    お客様の心情に配慮しながらの対応にはなりますが、場合によっては、謝罪とは別に法的な責任があるかについても見解を示すことが考えられます。
    また、法的責任追及については、有識者による検討委員会を立ち上げて別途時間をかけて検討する、という対応方針も考えられます。

    被害を受けたお客様にお詫びとして金券を送付することを検討しています。
    この場合、送付するお詫びの相場はどれくらいなのですか?

    大規模な個人情報漏洩の場合には、本人への通知と謝罪に加えて、お詫びとして金券などを送付する事例が時折あります。
    具体的な金額としては、500円から1000円程度の金券を配布する事例が多いです。
    また、サービス料金の減額や商品の無償提供といったお詫びの方法も考えられます。

    金券の配布については社内でも意見が割れることが想定されますね。
    金券の配布による効果と弊害については、どのように考えればよいでしょうか?

    金券の配布による効果としては、被害を受けた方々の怒りを鎮め、企業の信頼を回復することが期待できます。
    金額を適切に設定すれば、被害を受けたお客様によるクレームや訴訟提起のリスクを減らす効果も期待できます。
    他方、その弊害として、送付する金額が少なすぎると、かえってクレームを激化させることもあり得ます。
    また、漏洩対象者が多数となる場合は、多額の費用負担が支出になるのも課題です。
    金券の配布を行うかどうかは、漏洩事案ごとに慎重に検討するようにしましょう。

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    この記事をシェアする

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。