個人情報保護法のWEB弁護士相談 - 漏洩対応編 -

1. 個人情報の漏洩とは(定義)

個人情報の漏洩について、個人情報保護法やガイドラインでどのように定められているかを説明します。
「漏洩」に該当するかどうか微妙な事例についても紹介します。

インデックス
  • 業務内容

    クラウド上に保存できる表計算ソフトの公開設定を誤り、個人情報が誰でも閲覧できる状態になっていました。
    これは、個人情報の「漏洩」にあたりますか。

    まずは、個人情報の「漏洩」の定義を説明します。
    個人情報の「漏洩」とは、個人情報が外部に流出することをいいます。
    ガイドラインに挙げられている事例としては、次のようなものがあります。

    1. 個人情報が記載された書類を第三者に誤送付した場合
    2. 個人情報を含むメールを第三者に誤送信した場合
    3. システムの設定ミスなどによりインターネット上で個人情報の閲覧が可能な状態となっていた場合
    4. 個人情報が記載・記録された書類・媒体などが盗難された場合
    5. 不正アクセスなどにより第三者に個人情報を含む情報が窃取された場合

    (参照:ガイドライン(通則編)3-5-1-1)

    今回のようなクラウド上のデータの公開設定ミスは、個人情報の「漏洩」の定義に該当するのが原則です。
    ただし、第三者に閲覧される前に非公開の設定に戻すことができた場合など、「個人情報を第三者に閲覧されないうちに全てを回収した場合」には、例外的に「漏洩」に当たらないものとされています。
    「漏洩」に該当しない例として、次のようなものがあります。

    1. 個人情報を含むメールを第三者に誤送信した場合において、第三者がそのメールを削除するまでの間にメールに含まれる個人情報を閲覧していないことが確認された場合
    2. システムの設定ミスなどによりインターネット上で個人情報の閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログなどから確認された場合

    (参照:Q&A 6-1)

    <!–
    –> <!–
    –>

    企業の規模が大きくなると、誤送付や誤メールが一定数発生しまうのは避けられないのが実情です。

    誤送付、誤メールへの対応は、とにかくスピードが大事です。
    速やかに受信先に連絡し、開封せず削除するようお願いするという初動対応ができるように、営業部門の意識向上を図ることができるといいですね。

    取引先の個人情報が記録された書類を誤ってシュレッダーにかけて廃棄してしまいました。
    この場合は、個人情報の「漏洩」に当たらないのですから、特に対応はしなくてもよいですか。

    社外への流出がないのであれば、「漏洩」には当たりません。
    ただし、今回のような紛失事例は、個人情報の「滅失」に当たります。
    個人情報保護法では、「漏洩」以外に「滅失」を「漏洩等」の「等」に含めていますので、「漏洩」の場合と同じような対応が必要になります。

    個人情報の「滅失」とは、個人情報の内容が失われることをいいます。(ガイドライン(通則編)3-5-1-2)
    ガイドラインに挙げられている事例としては、次のようなものがあります。

    1. 個人情報データベースなどから出力された氏名などが記載された帳票などを誤って廃棄した場合
    2. 個人情報が記載・記録された書類・媒体などを社内で紛失した場合

    (参照:ガイドライン(通則編)3-5-1-2)

    書類が原本でなくコピーされたものであった場合はどうでしょうか。

    個人情報の外部流出がなく、かつ同じ内容のデータが他に保管されている場合には、「滅失」には当たらないとされています。(ガイドライン(通則編)3-5-1-2)
    「滅失」に該当するおそれのある事案が発生した場合は、社内における情報の保管状況を確認し、同じデータが保管されているかどうかを確認することが有効です。

    個人情報が記録されたUSBメモリを紛失してしまった場合など、紛失場所が社内か社外か確定できないことがあります。
    この場合は、個人情報の「漏洩」「紛失」のどちらになるでしょうか。

    具体的な事情にもよりますが、個人情報が記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、「漏洩」(または漏洩のおそれ)に当たると考えておいたほうが確実です。(Q&A6-2)
    「紛失」と判断した後に社外での流出が確認された場合、当初の判断に問題があったと指摘されるおそれがあります。

    取引先の個人情報が記録された端末がランサムウェアに感染し、データが暗号化されてしまいました。この場合も個人情報の「漏洩等」に該当しますか。

    はい。
    「漏洩等」の一類型である「毀損」に当たります。
    個人情報の「毀損」とは、個人情報の内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます。
    ガイドラインに挙げられている事例としては、次のようなものがあります。

    1. 個人情報の内容が改ざんされた場合づく場合
    2. 暗号化処理された個人情報の復元キーを喪失したことにより復元できなくなった場合
    3. ランサムウェアなどにより個人情報が暗号化され、復元できなくなった場合

    (参照:ガイドライン(通則編)3-5-1-3)

    ただし、個人情報の「滅失」の場合と同様に、個人情報の外部流出がなく、同じ内容のデータが他に保管されている場合には、「毀損」には当たらないとされています。(ガイドライン(通則編)3-5-1-3)

    また、ランサムウェアなどのマルウェアに感染した際、データが暗号化されて復元できなくなると同時にそのデータが盗み取られた場合には、個人情報の「毀損」だけでなく、「漏洩」にも当たるとされます。

    お客様の個人情報が外部に漏洩していたことが発覚しました。
    当社はどのように対応するべきなのでしょうか。

    ガイドラインでは、漏洩等またはそのおそれのある事案が発覚した場合に、その事案の内容などに応じて、以下の1番から5番に掲げる事項について必要な措置を講じる必要があるとされています。

    1. 事業者内部における報告および被害の拡大防止
    2. 事実関係の調査および原因の究明
    3. 影響範囲の特定
    4. 再発防止策の検討および実施
    5. 個人情報保護委員会への報告および本人への通知

    (参照:ガイドライン(通則編)3-5-2)

    上記のうち1番から4番までは、漏洩の内容、規模等にかかわらず、ガイドラインを根拠として実施することが求められている事項です。
    これに対し、5番の当局報告と本人通知は、一定の要件をみたす場合に、個人情報保護法上の義務として実施しなければならない事項です。
    報告・通知義務が発生するかどうかについては、特に注意して判断するようにしてください。
    具体的な内容については、改めて別の記事で紹介したいと思います。

    個人情報の漏洩が発覚したら、すぐに事案について公表するべき義務はありますか?

    二次被害や類似の事案の発生を防ぐため、上記の措置のうち、2番の事実関係と4番の再発防止策については、速やかに公表することが望ましいとの解釈が示されています。(ガイドライン(通則編)3-5-2)

    公表に関しては、正しい情報を隠している、被害状況を矮小化しているなどの疑念を広めてしまうと、いわゆる「炎上」状態となるおそれがあります。

    判明している情報は包み隠さず公表する、不明なものは「調査中」などの理由を添えて率直に説明するなどの対応方針を、平時から意識しておくとよいでしょう。

    ただし、とにかく早ければ良い、というものでもありません。
    過去の事案では、準備期間を十分に確保できず不確実な情報を公表してしまったことで、かえって利用者の不信感を高める結果となったものも散見されます。
    個人情報保護委員会も、公表を行わないことが考えられる場合として、次の事例を挙げています。

    • 二次被害の防止の観点から必要がないと認められる場合
    • 公表することでかえって被害の拡大につながる可能性があると考えられる場合

    (参照:Q&A 6-30)

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    この記事をシェアする

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。