はじめに
2021年5月になって、フリマアプリ、メールマガジンおよびECサイト、ならびにマッチングアプリの各利用者の個人情報の漏えい事案が相次いで報道されました。さまざまな情報のデジタル化の進展に伴い、個人情報を含むデジタルデータの利用も増加しているところ、これとともに不正アクセスによる情報漏えい事案も増加傾向にあります。このような状況を踏まえ、2022年4月に施行される、いわゆる「令和2年改正個人情報保護法」注1では、現行法の下においては努力義務にとどまっている当局への報告および本人への通知について、原則として義務化されることとなりました。そこで、上記漏えい事案を参考に、現行法下における情報漏えい事案への対応と、法改正によってかかる対応にどのような影響が生じるかを概説するとともに、今後、各企業において準備すべきことについて説明します。
現行法下における情報漏えい事案への対応
現行法下におけるルール
現行法下においては、漏えい等注2の事案が発生した場合について、法令上の定めは特になく、個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン(通則編)」とこれを受けた「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)によるルールが設けられています。
これによれば、個人情報取扱事業者は、①その保有する個人データまたは②匿名加工情報の加工時に削除した情報や加工方法といった一定の情報について、①については漏えい、滅失または毀損、②については漏えいがそれぞれ生じた場合(これらのおそれがある場合を含みます)に、次の6項目について「必要な措置を講ずることが望ましい」とされています
(a)事業者内部における報告および被害の拡大防止
(b)事実関係の調査および原因の究明
(c)影響範囲の特定
(d)再発防止策の検討および実施
(e)影響を受ける可能性のある本人への連絡等
(f)事実関係および再発防止策等の公表
また、上記のような漏えい等事案が「発覚」した場合、「その事実関係及び再発防止策等について」、個人情報保護委員会注3に対し、「速やかに報告するよう努める」とされています。なお、(i)実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断される場合や、(ii)FAXもしくはメールの誤送信、または荷物の誤配等のうち軽微なものの場合は、かかる報告の努力義務はないとされ、上記(i)については、漏えい等にかかる情報について、(ア)高度な暗号化等の秘匿化がされている場合、(イ)第三者に閲覧されないうちにすべてを回収した場合、(ウ)それによって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(一定の例外を除きます)、(エ)滅失または毀損にとどまり、第三者が当該情報を閲覧することが合理的に予測できない場合が、それぞれ具体例として列挙されています。
実際の漏えい事案の概要
冒頭述べた各情報漏えい事案の概要は次のとおり公表または報道されているところ(図表1参照)、個別事情によりタイミング等は異なるものの、流出した個人情報の本人への通知、および個人情報保護委員会への報告はそれぞれなされており、基本的には現行法のルールに沿った対応がとられているように見受けられます。
図表1 2021年5月に報道された情報漏えい事件の概要
フリマアプリ
| 不正アクセスの態様 | 外部サービスであるCodecovに対する不正アクセスにより、同サービスのユーザーが使用していた認証情報等が流出し、当該情報を利用して行われたとみられる不正アクセスにより、外部サービスであるGitHubに格納されていたソースコードに含まれる個人情報を含む情報が流出 |
|---|---|
| 主な流出情報 |
・ 一部顧客の個人情報(振込先銀行口座に関する情報、氏名、住所、メールアドレス、電話番号およびカスタマーサービスへの問合せ内容等) ・ 従業員および取引先に関する情報 |
| 不正アクセス検知・覚知後の経緯と対応 |
覚知当日:全社横断的な対策本部を設置し、関連当局への報告を実施 上記覚知から4日後:ソースコード上に一部顧客情報があったことを覚知 同約1か月後:対策が完了したため、流出した情報の対象となる者への案内(このほか、専用の問い合わせ窓口(アプリ経由およびWebフォーム)を設置(対象者であるかを顧客自身が確認できる専用Webページも設置))と外部公表を実施 |
メールマガジンおよびECサイト
| 不正アクセスの態様 | マルウェアを利用した第三者によるサーバへの不正アクセスによるもの |
|---|---|
| 主な流出情報 |
・ メールマガジン登録者やECサイト利用者の個人情報(氏名、性別、生年月日、メールアドレス) ・ 従業員および取引先に関する情報 |
| 不正アクセス検知・覚知後の経緯と対応 |
覚知翌日:顧客情報の流出を覚知 上記覚知の2日後:脅迫メッセージを受信・警察に通報 同3日後:個人情報保護委員会に報告 同4日後:流出が確認された顧客への連絡の実施と問い合わせ窓口(メール・電話)の設置 |
マッチングアプリ
| 不正アクセスの態様 | 不正アクセスの詳細については発表されていない |
|---|---|
| 主な流出情報 |
退会した会員を含む会員の個人情報※1(運転免許証、健康保険証等の画像データ) |
| 不正アクセス検知・覚知後の経緯と対応 |
顧客情報を管理するサーバーにおいて意図されていない挙動を観測し、ただちに調査を行った結果、顧客情報への不正アクセスの痕跡を覚知 |
※1 マッチングアプリの事案に関しては、個人情報の流出が確認されたとは発表されておらず、流出した可能性が高いと発表されています。
令和2年改正個人情報保護法による影響
前記各事案における事業者側の対応は、前記ガイドラインおよび告示に基づく努力義務に基づいて実施されたものですが、仮にこれらの対応がなされなかった場合であっても、現行法によるルールの下では、ただちに法令違反が認められるとは限りませんでした。個人情報保護法制が充実しているといわれる諸外国においては、これらの対応が義務付けられている場合も見られ、個人情報の保護をより拡充するためにはこうした制度の導入をすべきという考え方もあったことから、従前よりこれらの対応の義務化が議論されていましたが、これを踏まえ、令和2年改正個人情報保護法により、個人情報保護委員会への報告と漏えい等した個人情報の本人への通知が義務付けられることになりました。かかる義務の内容の概要は、次のとおりです。
なお、前記各事案における事業者側の対応は、改正法下におけるルールにも大筋において沿ったものと見受けられますので、今後の実務においても参考となるものといえます。
報告等の対象となる事象
漏えい等のうち、報告等の対象となる事象は、個人の権利利益を害するおそれが大きいもの、すなわち、①要配慮個人情報が含まれる個人データの漏えい等の発生等、②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等の発生等、③不正の目的をもって行われたおそれがある個人データの漏えい等の発生等、および④個人データにかかる本人の数が1,000人を超える漏えい等の発生等とされています(改正個人情報保護法施行規則6条の2)。なお、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものは除かれます。
報告の方法
そして、報告は、速報と確報の2段階とされ、具体的には次のとおりの内容とされました。なお、原則として電子情報処理の方法によることとされ、これが困難な場合には書面による所定の報告書を提出することとされています(改正個人情報保護法施行規則6条の3)。
- 速報:前記⒈の①~④の事態を知った後、後記⒊の(ア)~(ケ)の事項(報告時点で把握しているものに限る)を速やかに報告
- 確報:前記⒈の①~④の事態を知った日から30日(前記⒈の③の事態の場合は60日)以内に、後記⒊の(ア)~(ケ)の事項すべてを報告
報告等を行うべき事項
個人情報保護委員会へ報告すべき事項は、次の(ア)~(ケ)とされました。なお、本人への通知項目は、このうち、(ア)、(イ)、(エ)、(オ)および(ケ)が義務とされています(改正個人情報保護法施行規則6条の3および6条の5)。
(ア) 概要
(イ) 個人データの項目
(ウ) 個人データに係る本人の数
(エ) 原因
(オ) 二次被害またはそのおそれの有無およびその内容
(カ) 本人への対応の実施状況
(キ) 公表の実施状況
(ク) 再発防止のための措置
(ケ) その他参考となる事項
今後、各企業において準備すべきこと
令和2年改正個人情報保護法の全面施行を2022年4月に控え、個人情報を取り扱う各企業において準備すべき事項は、次のとおりです。
まず、報告等の対象となる事象に含まれることとなる個人情報、具体的には、要配慮個人情報や、不正利用による財産的被害のおそれのある情報(クレジットカード情報等)、1,000人以上の個人に関する事項がまとまって保管されている情報が、どこに所在し、どのように管理されているかを確認する必要があります。これにより、有事の際に報告等の義務が課されているかどうかを迅速に把握し、判断することが可能となるとともに、平時における安全管理措置の十分性の検証の際にも参考とすることができることになります。
次に、これらについて、万一、不正アクセス等により流出が生じた際、報告すべき事項(前記Ⅲ⒊で列挙した(ア)~(ケ)の各事項)に関する速報および確報を適時に行うことができるよう、有事の際の担当部署や責任者、その権限等について整理および確認を行い、これらを根拠付ける社内規程の見直しの要否を検討し、必要な場合には見直しを実施する必要があります。
こうした準備対応に関連して付言すると、令和2年改正個人情報保護法の改正作業のスケジュールは、2020年6月の法律の公布後、2021年3月に施行令と施行規則が公布され、5月19日にガイドライン案がパブリックコメントに付されているという経緯にあります。今後、個人情報保護委員会からQ&Aが6月以降に公表され、継続的に更新される予定ですが、特に同ガイドラインにおいて、具体的な実務における当てはめへの言及がなされており注4、これらを参考にしつつ、検討を進めると効率的であろうと考えられます注5。
注1 法の正式名称は「個人情報の保護に関する法律」といい、2020(令和2)年6月に改正法が公布され、罰則の強化等の一部は2020年12月に施行済みとなっています。さらに、オプトアウト規制の強化等の一部が2021年10月1日に施行され、2022年4月1日には全面施行されることとなっています。
注2 「個人情報の保護に関する法律についてのガイドライン(通則編)」において、「漏えい等」とは、「漏えい、滅失又は毀損」と定義されています。
注3 ただし、認定個人情報保護団体の対象事業者や個人情報保護委員会の権限が事業所管大臣に委任されている分野における個人情報取扱事業者等は別途定めるとされています。
注4 改正法施行令および施行令にかかるパブリックコメントにおいて、同ガイドラインで例示を検討するとされた多数の事項について、実際に具体例とこれに対する個人情報保護委員会の考え方が紹介されています。なお、上記パブリックコメントについては、筆者によるオンライン録画セミナー「令和2年改正個人情報保護法のポイント(追補版)」において解説を行っています。
注5 なお、2021年5月19日に「デジタル社会の形成を図るための関係法律の整備に関する法律」が公布されており、これに伴う個人情報保護法の改正も行われることとなりました(民間企業に直接適用される実質的な変更はほとんどないものの、学術研究分野への一律適用除外の廃止や行政機関における取扱いの統一に伴う間接的な影響は生じうるので留意が必要です)。施行時期は未定ながら、公布から1年以内とされており、令和2年改正個人情報保護法の施行とほぼ時期を同じくするのではないかと予想されます。
.jpg)
岡本 直己
弁護士法人御堂筋法律事務所 パートナー弁護士
2000年東京大学法学部卒業。2005年弁護士登録、弁護士法人御堂筋法律事務所入所。2012年ワシントン大学ロースクール(LL.M. アジア法)卒業、ケルビン・チア・パートナーシップ法律事務所(シンガポール共和国)。2013年弁護士法人御堂筋法律事務所復帰。2014年から2015年まで事業会社へ出向。2017年弁護士法人御堂筋法律事務所パートナー(現任)。東京弁護士会所属。海外コンプライアンスを含む個人情報保護法関連のセミナーの実施に加え、東南アジアの法制度に関するニュースレター記事等を多数執筆。御堂筋法律事務所プロフィールページはこちらから