法律相談
2022.03.14
不動産お役立ちQ&A

Vol.71 個人情報を漏えいさせた場合の取扱い

Question

個人情報保護法が改正され、個人情報を漏えいさせた場合には、個人情報保護委員会に報告をしなければならなくなったと聞きました。どのような法改正があったのでしょうか。

Answer

1.はじめに

令和2(2020)年6月に個人情報保護法が改正され(令和2年改正)、令和4(2022)年4月に全面施行されます(附則1条)。この改正によって、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態(漏えい等)が生じたときは、その事態が生じた旨を個人情報保護委員会に報告することが、義務づけられました。

2. 個人情報保護委員会への報告の義務づけ

従来から、個人情報の漏えい、滅失、毀損など、個人データの安全確保に関する事態が生じた場合には、個人情報保護委員会に報告すべきものとされてはいましたが(平成29年個人情報保護委員会告示第1号「個人データの漏えい等の事案が発生した場合等の対応について」)、この報告義務は個人情報取扱事業者の努力義務にすぎませんでした。そのため、漏えい等の報告に関しては、必ずしも積極的な対応がなされているとはいえない状況にありました。漏えい等が発生しても個人情報取扱事業者側が公表をしなければ、個人情報保護委員会などにおいて、適切な方策を講じることができません。

そこで、令和2年改正により、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、規則で定めるところにより、その事態が生じた旨を個人情報保護委員会に報告しなければならないとして、報告が法的な義務とされました(個人情報保護法第26条)。

3. 報告が義務づけられる事態

報告が義務づけられるのは、次の事態が生じた場合です(個人情報保護法施行規則第7条)。

  • 一 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態
  • 二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
  • 三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
  • 四 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態

漏えい等報告の義務化

漏えい等報告の義務化
※漏えい等の事案が⽣じた場合の報告フォームは、個⼈情報保護委員会のホームページに掲載されています(https://roueihoukoku.ppc.go.jp/?top=kojindata)。

4. 報告事項

報告事項は、次のとおりです(個人情報保護法施行規則第8条)。

  • 一 概要
  • 二 漏えい等が発生し、または発生したおそれがある個人データの項目
  • 三 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
  • 四 原因
  • 五 二次被害またはそのおそれの有無およびその内容
  • 六 本人への対応の実施状況
  • 七 公表の実施状況
  • 八 再発防止のための措置
  • 九 その他、参考となる事項

5. 本人への通知

さらに、個人情報保護委員会への報告が義務づけられる事態が生じた場合には、個人情報取扱事業者は、本人に対し、状況に応じて速やかに、本人の権利利益を保護するために必要な範囲において、事態が生じた旨を通知することも義務づけられました(個人情報保護法第26条2項本文、個人情報保護法施行規則第10条)。本人への通知における通知事項は、事態の概要、漏えい等が発生し、または発生したおそれがある個人データの項目、原因、二次被害またはそのおそれの有無およびその内容、その他参考となる事項です。

ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、通知をしないでもよいこととされています(個人情報保護法第26条2項)。通知に代わるべき措置としては、事案の公表や、問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすることなどが想定されています(個人情報保護法ガイドライン(通則編))。

今回のポイント

  • 個人情報取扱事業者には、個人データの漏えい等の事態が生じたときは、その事態が生じた旨を個人情報保護委員会に報告することが、義務づけられた。
  • 個人情報保護委員会への報告義務が課されるのは、①要配慮個人情報の漏えい、②不正アクセス等による漏えい、③財産的被害のおそれがある漏えい、④大規模な(1,000件を超える)漏えいである。
  • 個人情報保護委員会への報告が義務づけられる事態が生じた場合には、本人に対しても、本人の権利利益を保護するために必要な範囲において、速やかに事態が生じた旨を通知しなければならない。
  • 本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、通知をしないでもよいこととされている。
渡辺 晋

山下・渡辺法律事務所 弁護士

渡辺 晋

第一東京弁護士会所属。最高裁判所司法研修所民事弁護教官、司法試験考査委員、国土交通省「不動産取引からの反社会的勢力の排除のあり方の検討会」座長を歴任。マンション管理士試験委員。著書に『新訂版 不動産取引における契約不適合責任と説明義務』(大成出版社)、『民法の解説』(住宅新報出版)、『不動産取引における心理的瑕疵・環境瑕疵対応のポイント』『不動産の共有関係解消の実務』(新日本法規)など。