個人情報保護法のWEB弁護士相談 - 漏洩対応編 -

3. 個人情報の漏洩についての当局報告

個人情報の漏洩についての当局報告とは、個人情報保護法に定められている4つの類型のいずれかの「事態」が発生した際に、個人情報保護委員会に行う報告のことです。
一定の要件をみたす個人情報の漏洩事案が生じた場合は、当局報告を行わなければなりません。
報告義務が生じる要件や、個人情報保護委員会などの報告先、報告方法について説明します。

インデックス
  • 業務内容

    当局報告の対象となる個人情報の「漏洩等事態」とは

    個人情報の漏洩が発生した場合、必ず監督当局へ報告しなければならないのでしょうか?

    いいえ。
    当局報告が求められるのは、「その取り扱う個人データの露上い、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」に限られます。(個人情報保護法26条1項本文)

    当局報告の義務が発生する類型について、詳しく教えてください。

    当局報告を行わなければならない類型は、次の4つです。
    個人情報取扱事業者は、以下の1〜4のいずれかの漏洩等が発生し、または発生したおそれがある事態を知ったときには、個人情報保護委員会に報告しなければなりません。(施行規則7条)
    この4つの類型は、「漏洩等事態」、「4事態」などと呼ばれます。

    1. 要配慮個人情報が含まれる個人情報の漏洩等
    2. 不正に利用されることにより財産的被害が生じるおそれがある個人情報の漏洩等
    3. 不正の目的をもって行われたおそれがある個人情報の漏洩等
    4. 本人の数が1000人を超える個人情報の漏洩等

      5. ※上記の「おそれ」がある場合を含む

    (参照:ガイドライン(通則編)3-5-3-1)

    当局報告は、個人情報保護委員会に行うのでしたよね。

    原則はそのとおりです。
    個人情報保護委員会への報告方法については、後ほど詳しく解説します。

    注意が必要なのは、例外があることです。
    一部の業種には、個人情報保護委員会以外への報告が義務付けられています。
    例えば、銀行などの金融分野では、個人情報保護委員会ではなく、監督当局(財務局、都道府県の監督部署など)に対する報告義務が生じます。(金融分野ガイドライン11条1項)
    所属する協会・団体への報告が必要となることもあります。
    また、クレジットカード会社などの信用分野では、経済産業大臣(通常は経済産業省の各地の窓口である経済産業局)または認定個人情報保護団体である日本クレジット協会への報告義務が生じます。(信用分野ガイドラインⅡ-2-(4)-5))
    これらの分野でも、特定個人情報(マイナンバーを含む個人情報)の漏洩については個人情報保護委員会に直接報告しなければならないなど、ルールが複雑になっていますので要注意です。

    上記の1〜4の報告義務が発生する類型について、それぞれ詳しく教えてください。

    それぞれの類型について具体的な事例を紹介しながら説明しますね。

    当局報告が必要となる漏洩の4類型

    1.要配慮個人情報が含まれる個人情報の漏洩等

    要配慮個人情報とは、人種、信条、病歴、犯罪被害歴などの情報のことです。(個人情報保護法2条3項、施行令2条)
    典型例は、企業の従業員の情報が健康診断の結果とともに漏洩したケースです。

      【当てはまる事例】

    • 病院における患者の診療情報や調剤情報を含む個人情報を記録したUSBメモリーを紛失した場合
    • 従業員の健康診断の結果を含む個人情報が漏洩した場合

    (参照:ガイドライン(通則編)3-5-3-1)

    病院などの医療機関が健康診断の結果を誤って本人以外に渡してしまった場合もこの類型に当てはまります。(Q&A6-7)
    1件の漏洩であっても個人情報保護委員会への報告が義務付けられますので、要配慮個人情報の取扱いには最新の注意を払うようにしましょう。

    2.不正に利用されることにより財産的被害が生じるおそれがある個人情報の漏洩等

    不正利用により財産的被害が生じるおそれがある個人情報の典型例は、クレジットカード番号です。
    店舗やEコマースではクレジットカード番号の非保持化の取組みが進められていますが、引き続きクレジットカード番号の取扱いには注意するようにしましょう。

      【当てはまる事例】

    • ECサイトからクレジットカード番号を含む個人情報が漏洩した場合
    • 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人情報が漏洩した場合

    (参照:ガイドライン(通則編)3-5-3-1)

    不正利用により財産的被害が生じるおそれがある個人情報に該当するかどうかは、漏洩した個人情報の性質や内容などを踏まえて、悪用により本人になりすまして財産の処分が行われる可能性を考慮して判断されます。
    住所や電話番号、メールアドレス、SNSアカウントなどの個人情報が漏洩した場合、その情報のみを悪用しても、本人になりすまして財産の処分を行うことはできないと考えられるため、直ちにはこの類型に当てはまりません。(Q&A6-9)
    クレジットカード番号については、暗証番号やセキュリティコードを伴わない場合でもこの類型に該当するとされています。ただし、クレジットカード番号の下4桁のみとその有効期限の組合せが漏洩した場合は、この類型に当てはまらないと考えられています。(Q&A6-10)
    銀行口座情報については、口座番号と口座名義人の組合せのみが漏洩した場合であれば、財産的被害が生じる可能性が低いため、この類型に当てはまりません。ただし、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏洩した場合には、この類型に当てはまると考えられています。(Q&A6-12)
    また、漏洩を知った時点で「財産的被害が生じるおそれ」がある場合には、その後の被害防止措置により「財産的被害が生じるおそれ」がなくなったとしても、報告する義務が消滅することはありません。(Q&A6-13)必ず報告を行うようにしましょう。

    3.不正の目的をもって行われたおそれがある個人情報の漏洩等

    不正目的をもって行われたおそれがある個人情報の漏洩等の典型例は、不正アクセスと不正持出しです。
    外部のハッカーによるもののほか、従業員・元従業員が外部の業者や転職先に従業員名簿や顧客名簿を提供した場合もこの類型に該当します。

      【当てはまる事例】

    • 不正アクセスにより個人情報が漏洩した場合
    • ランサムウェアなどにより個人情報が暗号化され、復元できなくなった場合
    • 個人情報が記載または記録された書類・媒体などが盗難された場合
    • 従業者が顧客の個人情報を不正に持ち出して第三者に提供した場合

    (参照:ガイドライン(通則編)3-5-3-1)

    被害の発生が確定していない段階でも、不正目的による漏洩の「おそれ」がある場合には報告義務が発生しますので、事態を軽視して当局報告が遅れることがないように気をつけてください。
    サイバー攻撃に関し、漏洩が発生したおそれがある事態に当てはまる事例としては、以下の(a)~(d)が挙げられています。

      (a)個人情報を格納しているサーバや、そのサーバへのアクセス権限がある端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合

      (b)個人情報を格納しているサーバや、そのサーバへのアクセス権限がある端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合

      (c)マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDNへの通信が確認された場合

      (d)不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家などの第三者から、漏洩のおそれについて、一定の根拠に基づく連絡を受けた場合

    (参照:ガイドライン(通則編)3-5-3-1)

    企業内部の従業員による個人情報の持ち出しの事案に関して、漏洩が発生したおそれがある事態に当てはまる事例としては、個人情報を格納しているサーバやそのサーバにアクセス権限がある端末において、業務上不必要なアクセスによりデータが窃取された痕跡が認められた場合などが考えられます。

    4.本人の数が1000人を超える個人情報の漏洩等

    「本人の数」とは、個人情報取扱事業者が取り扱うすべての個人情報のうち、漏洩が発生し、または発生したおそれがある個人情報についての本人(個人)の人数のことです。
    漏洩が発覚した当初は1000人以下であっても、その後1000人を超えた場合には、1000人を超えた時点で報告の義務が生じます。
    また、本人の数が確定できない場合に、漏洩が発生したおそれがある個人情報についての本人の数が最大1000人を超える場合には、この類型に当てはまります。

      【当てはまる事例】

    • システムの設定ミスなどによりインターネット上で1000人を超える個人情報の閲覧が可能な状態となった場合

    (参照:ガイドライン(通則編)3-5-3-1)

    当局報告の時期・タイミング

    個人情報保護委員会にはどのように報告したらよいのでしょうか?

    個人情報保護委員会のウェブサイトで公表されている漏洩等報告フォームを使って報告を行います。
    報告のタイミングは、次の2回となるのが原則です。
    1.「速報」 漏洩の事実を知った時点からおおむね3~5日以内
    2.「確報」 漏洩の事実を知った時点から30日以内(3の類型の場合には60日)以内

    報告の内容は以下の通りです。

    1. 概要
    2. 漏洩等が発生し、または発生したおそれがある個人情報の項目
    3. 漏洩等が発生し、または発生したおそれがある個人情報についての本人の数
    4. 原因
    5. 二次被害またはそのおそれの有無及びその内容
    6. 公表の実施状況
    7. 本人への対応の実施状況
    8. 再発防止のための措置
    9. その他参考となる事項

    (参照:施行規則8条、ガイドライン(通則編)3-5-3-3)

    5の「二次被害」には、クレジットカードやポイントの不正利用、不審なメールや詐欺メールが送られてくることなどが考えられます。(Q&A6-22)

    速報の報告内容については、報告する時点で把握している内容を報告すればよいとされています。
    また、「漏洩の事実を知った時点」については、企業内のいずれかの部署に所属する従業員が「漏洩の事実を知った時点」であると考えられています。(Q&A6-21)

    委託先で生じた漏洩の報告方法

    お客様の個人情報の管理を外部企業に委託していたところ、委託先の外部企業から、お客様の個人情報が1000件以上漏洩したとの報告を受けました。
    この場合、委託先が漏洩について報告する義務を負うのでしょうか?

    個人情報の取扱いを委託している場合には、委託元と委託先の両方が個人情報を取り扱っていることになるため、原則として委託元と委託先の両方が報告する義務を負うのが原則です。(ガイドライン(通則編)3-5-3-2)
    委託元、委託先がそれぞれ個人情報保護委員会への報告を行うこともありますし、両社で事実関係の認識合わせを行った上で、委託元と委託先の連名で個人情報保護委員会に報告することもあります。

    委託先も必ず当局報告を行わなければならないのですね。

    実はそうとも限りません。
    委託先が漏洩が発生したことを知った後、当局報告事項である上記の1~9のうち、その時点で把握していることを委託元に速やかに通知したときは、委託先は、報告義務を免除されます。(個人情報保護法26条1項但書、施行規則9条)
    この場合、当局報告を行う義務を負うのは、委託先から通知を受けた委託元のみです。
    なお、通知を行った委託先は、委託元が報告する際には、事態の把握を行うとともに、必要に応じて委託元の調査・報告に協力することが求められています。(ガイドライン(通則編)3-5-3-5)

    個人情報を取り扱わないこととなっているクラウドサービスを利用してお客様にアンケートを実施し、提供を受けた個人情報をクラウド上に保存していたところ、設定ミスで本人以外の個人情報が閲覧可能となっていたことに気が付きました。この場合、クラウドサービスを提供する事業者と連名で漏洩の報告しなければならないのでしょうか?

    個人情報を取り扱わないこととなっているクラウドサービスを利用した場合には、クラウドサービスで個人情報を保存していたとしても、クラウドサービスを提供する事業者に個人情報の取扱いを委託しているわけではありません。
    そのため、クラウドサービスで漏洩が発生した場合、クラウドサービスを提供する事業者には報告義務が発生せず、クラウドサービスを利用する個人情報取扱事業者が報告をしなければなりません。
    ただし、クラウドサービスを利用する事業者が安全管理措置義務や報告義務を負っていることを踏まえて、クラウドサービスを提供する事業者は、契約などに基づいてクラウドサービスを利用する事業者に対して通知するなど、適切な対応を行うことが求められます。(Q&A6-19、7-53)

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    詳しいプロフィールはこちら お問い合わせ
    この記事をシェアする

    関連リンク

    「個人情報保護法のWEB弁護士相談 - 漏洩対応編 -」(記事一覧)
    関連業務のご紹介
    個⼈情報・マイナンバー

    個⼈情報・マイナンバー

    個人情報保護法/番号法/漏えい対応/データ利活用/セキュリティ/データマッピング

    詳しくはこちら

    ご依頼までの流れ

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。