第7回(完):個人データの漏えいが生じた場合の対応

企業や金融機関の管理する個人データには、様々な情報が紐付けられており、その情報を獲得して不正な利益を獲得しようと、組織的に企業のデータベースや情報管理システム、決済システムなどに侵入を繰り返す者が後を絶ちません。彼らは、システムの脆弱性を探したり、メール等にウイルス感染させるURLを添付するなど、様々な方法を駆使して、システムに侵入し、個人データを持ち出します。また、企業内部の不用意なデータの扱いにより、意図せず、個人情報を含むデータが漏えいすることもあります。

個人データが漏えいすると、個人は、自身の様々なデータがネット上に晒されるなどしてプライバシー等の侵害がされるとともに、二次利用(悪用)により、財産的な被害を受けることもあります。したがって、現行の個人情報保護法では、個人情報取扱事業者に保有個人データの安全管理義務を定め、従業者や委託先の監督義務を課して、情報漏えいが起きないような態勢作りを求めています。しかし、実際に個人データが流出してしまった場合に、情報が漏えいした事実を公表したり、本人への通知することは義務づけられていませんでした。

1.漏えい等の事案が生じたときの現行の対応

現行法制度では、個人情報委員会は、「個人情報の保護に関する法律のガイドライン(通則編)」で、個人データが漏えいした場合に、「漏洩等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から」実施することが望まれる対応を別途定めています。その内容は、平成28年個人情報保護委員会告示1号「個人データの漏洩等の事案が発生した場合の対応について」において、以下の通り、とるべき望ましい体制が定められています。

①事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。

②事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。

③影響範囲の特定
上記②で把握した事実関係による影響の範囲を特定する。

④再発防止策の検討及び実施
上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。

⑤影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。

⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する

2.金融機関における現行の対応

一方、個人情報保護のガイドラインとは別に、銀行、保険会社、貸金業者などの金融機関には、金融分野ガイドライン、また、クレジット会社には、信用分野ガイドラインが別途存在し、以下の通り、対応することが定められています。

【金融分野ガイドライン】

17 条 個人情報等の漏えい事案等への対応

1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等又は匿名加工情報 の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第 36 条第1項の規定により行った加工の方法に関する情報の漏えい事案の事故が発生した場合には、監督当局等に直ちに報告することとする。  

2 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表することとする。

3 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生し た場合には、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うこととする。
【信用分野ガイドライン】

与信事業者は、自己の取り扱う個人データ(受託者が取り扱うものを含む。)の漏えい等の事故が発生した場合には、その事実関係、発生原因、対応策その他の漏えい等に関する事項を可能な限り速やかに、(略)経済産業省及び認定個人情報保護団体に報告しなければならない。また、加工方法等情報の漏えいの事故が発生した場合にも同様に報告することとする。さらに所属する業界団体等の関係機関に報告することが望ましい。  

ア 認定個人情報保護団体の業務の対象となる与信事業者(以下「対象事業者」という。)は、経済産業大臣への報告に代えて、認定個人情報保護団体に報告することができる。認定個人情報保護団体は、対象事業者の事故又は違反の概況を経済産業省に定期的に報告する。ただし、対象事業者は、以下の場合は、経済産業大臣に、逐次速やかに報告することが望ましい。

・Ⅱ.2.⑵に定める機微(センシティブ)情報を含む個人データを漏えいした場合
・信用情報、クレジットカード番号等を含む個人データが漏えいした場合であって、二次被害が発生する可能性が高い場合
・漏えい等の発生規模が大きい場合
・同一事業者において漏えい等の事故(特に同種事案)が繰り返し発生した場合
・その他認定個人情報保護団体が必要と考える場合

金融機関ガイドラインの対象事業者にとっては、個人情報漏えいがあれば、一定の場合に、漏えい事実の報告と公表などが定められ、本人への通知も求められていますが、法制化により、今後はより早期に、確実に対応することが求められると考えられます。

3.改正法による重大漏洩についての個別通知義務化            

 改正法では、個人情報取扱事業者全般に対し、「その取り扱う個人データの漏えい、滅失、 毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない」(改正法22条の2第1項)として、報告義務を定めました。また、同時に、「本人に対し、個人情報保護委員規則で定めるところにより、当該事態が生じた旨を通知しなければならない」(同第2項)と通知義務を定めています。

報告の対象となる漏えい事案、本人通知の対象となる事案については、「個人情報保護委員会規則において定める」とされています。対象事案としては、漏えいした個人データの性質、漏えいの態様、規模等の観点から、「個人の権利利益を害するおそれが大きいもの」が規定されるものと考えられますが、一般的には、要配慮個人情報など機微情報や不正アクセスにより漏えいが起きた場合や漏えい件数が多数に上る場合が想定されます。

金融機関関連では、信用情報やクレジットカード番号等の漏えいなど、財産的被害に至る恐れがある個人データの漏洩等が想定されます。これらは、漏えい件数にかかわらず、報告を求められる可能性が高いと考えられます。

報告先は、個人情報保護委員会になりますが、改正法44条1項において報告受理権限が事業所管大臣に委任することが可能とされており、金融機関は従来通り金融庁長官に、クレジット会社は経済産業大臣に報告することになると思われます。

4.金融機関の実務への影響

金融機関は、金融分野ガイドラインにおいて、個人情報の漏えい事案につき、報告が実質的に義務化されており、報告すべき事案についても大きな変更はないものと考えられます。また、公表及び本人の通知についても同様です。しかし、クレジット会社の場合は、経済産業大臣への届け出が必要な事案は限定されており、本人への通知は義務づけられていなかったため、施行までに、具体的にどのような方法(文書の郵送、電子メール等の送信など)で通知するのか、検討する必要があります。また、業法的な規制を受けていない決済関連事業者や決済事業者、通販サイトやECサイトの運営関連企業にとっては、クレジットカード会社と同様に対応する必要があると考えられます。

さらに、「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき」は、本人に個別の通知義務を免れることができますが、どのような事案の場合に、どんな方法が考えられるかもあらかじめ検討が必要と考えられます。

漏えい事実の公表や個別通知が必要になると莫大な費用が発生するだけでなく、安全管理を怠ったとして、債務不履行などに基づく損害賠償請求も多発することが予想されます。個人情報取扱事業者は、改めて、自社の安全管理措置を徹底し、情報システムの点検をはじめ、漏えい等の発生防止に努めることが極めて重要です。

※本コラムでは「漏えい」を用いていますが、法令等の引用については原文のまま転載しています。

本内容の引用・転載を禁止します。