(画像は個人情報保護委員会Webサイトより)
※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)
4月から施行された改正個人情報保護法では、個人情報が漏えいなどした際に「個人情報保護委員会への報告と本人通知」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。
あれ?これまでも個人情報保護委員会への報告義務あったよね?と思われる方がおられるかもしれませんが、従来は「努力義務」なのでした。今回の法改正から正式に義務化されました。
(1)個人情報保護委員会への報告と本人通知の対象となるのはどんな時?
まず、個人情報保護委員会への報告と本人通知の対象となるのは、下記の4つの場合になり、これらを報告対象事態といいます。(個人情報保護法第26条(第1項)→個人情報保護委員会規則第7条)
●要配慮個人情報が含まれる個人データの漏えい等の場合
●不正利用されることにより財産的被害が生じるおそれがある個人データの漏えい等の場合
(決済可能なサービスのアカウント情報や、クレジットカード番号など)
●不正の目的をもって行われたおそれがある個人データの漏えい等の場合
(不正アクセスの被害を受けた場合)
●個人データにかかる本人の数が1000人を超える漏えい等の場合
(2)個人情報保護委員会への報告はどのように行う?
個人情報保護委員会への報告は、まず「速やかに」行うこととされています。個人情報保護法ガイドラインでは「おおむね3〜5日以内」としています。この段階で、分かる範囲の情報を「速報」として報告することとされます。
さらに、30日以内(不正アクセスを受けた場合は60日以内)に確定した情報を「確報」としてもう一度報告することとされました。
これらの報告は、個人情報保護委員会のWebサイトに専用のフォームがあり、そこから入力する形で行います。このフォームはある程度しっかりしたもので、入力した結果をCSVでインポート/エクスポートしたり、PDFファイルとしてダウンロードすることもできるものとなっています。
なお、金融機関(金融庁)、不動産事業者(国土交通省)、クレジット業界(経済産業省)など、特定の業種の場合は、それぞれの官庁(権限委任官庁)に報告することとされています。
また、従来は認められていた認定個人情報保護団体を介しての報告は廃止になりました。ご注意ください。
(3)本人通知はどのように行う?
本人通知は、通常は郵便や電子メールなどの方法を用いて、本人に直接知らせることとされます。
こちらは「当該事態の状況に応じて速やかに」行うこととされます。特に何日というような指定はありませんが、(2)の「速やかに」が3〜5日であることを考えると、何か月も経過してからでは遅すぎるということになると思われます。ただし、通知を行うことによりさらに被害が拡大することが想定されるような場合には通知を遅らせることが認められます。
詳細は、下記のガイドラインをご参照ください。
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護委員会・報告用フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/
(私のコメント)
今回の義務化により、今まで以上に個人情報保護委員会が日本全体の個人情報の取り扱いに関してコミットする立場が明確になり、事業者から見ても、分かりやすくなったと思います。現代の日本において、積極的にビジネスを展開すればするほど、個人情報の漏えいなどはあり得ることです。万が一の際に備えて、上記の内容を理解しておいてください。
この内容が皆さんにとって何かの参考になればと思います。
また、新しい情報が入りましたら、皆様にシェアいたしますね。