- 漏えい時の対応について①個人情報保護委員会への報告及び本人への通知の義務化
- 漏えい時の対応について②改正への対応
- 本人からの請求に対する対応について①利用停止・消去等の個人の請求権の要件緩和
- 本人からの請求に対する対応について②短期保存データが保有個人データに含まれることに
- 本人からの請求に対する対応について③保有個人データの開示方法の拡大
- 本人からの請求に対する対応について④改正への対応
漏えい時の対応について①個人情報保護委員会への報告及び本人への通知の義務化
現行法における規制
現行法では、漏えい事案が生じた場合に個人情報保護委員会への報告や本人への通知を義務づける規定は存在しなかった。
もっとも、個人情報保護委員会は、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。)において、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」としたうえで、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)を公表しており、漏えい等事案が発覚した場合に講ずべき望ましい対応や個人情報保護委員会への報告を努力義務として定めていた。
改正法の概要
報告・通知の義務化
改正法では、漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知を義務化している(改正法22条の2)。
報告・通知が必要な場合は、「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」(改正法22条の2第1項、2項)とされ、具体的には以下の事態が生じた場合に報告義務がある(改正規則6条の2各号)。
- 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く)の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態(1号)
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(2号)
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(3号)
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(4号)
報告・通知の内容及び方法
事態を知った日から原則30日以内に、以下の①~⑨の事項(報告しようとする時点で把握しているものに限られる。)を個人情報保護委員会へ報告しなければならない(改正規則6条の3第1項、2項)。また、事態を知った後、当該事態の状況に応じて速やかに、本人の権利利益を保護するために必要な範囲内において、以下のうち①②③④⑤⑨の事項を本人に対して通知しなければならない(改正規則6条の5)。
- 概要
- 漏えい等が発生し、又は発生したおそれがある個人データの項目
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
個人情報保護委員会への報告の方法は、同委員会のホームページに設置されている漏えい等事案の報告フォームから行うことが原則とされており(改正規則6条の5第3項)、当該フォームは上記①~⑨を含む項目を記載する形になっている。
本人への通知の方法は、文書の郵送、FAX・電子メールの送信といった方法で行うことが考えられる。
▼令和2年改正個人情報保護法を詳しく学ぶ
【オンライン受講】令和2年改正個人情報保護法の実務対応ポイント
【会場受講】令和2年改正個人情報保護法の実務対応ポイント
漏えい時の対応について②改正への対応
この改正により、一定の場合は個人情報保護委員会への報告と本人への通知が義務化されたため、報告義務・通知義務がある事態が生じているにもかかわらず、報告や通知をせずにいると明確に違法行為となるので、留意が必要である。
改正への対応として、まずは個人情報の漏えいが生じた場合に自社で現在どのような対応を行っているかを確認・整理をする必要があろう。そのうえで、改正法の施行後は、どのような事態が生じた場合に誰がどのようにして個人情報保護委員会への報告や本人への通知を行うのかを検討する必要がある。漏えい時対応を社内規程やプライバシーポリシーで定めている場合は、必要に応じて改訂の作業が必要になる。
本人からの請求に対する対応について①利用停止・消去等の個人の請求権の要件緩和
現行法では、本人が個人情報取扱事業者に対して当該本人が識別される保有個人データの利用停止・消去・第三者提供の停止を請求できるのは、以下の場合に限定されていた(現行法30条1項、同条3項)。
改正法は、これらの場合に加えて、本人の権利又は正当な利益が害されるおそれがある場合にも利用停止・消去・第三者提供の停止を請求できることとしている(改正法30条5項、同条6項)。
具体的には、改正法22条の2第1項本文に定められている個人情報保護委員会への報告が必要となる漏えい等事案が生じた場合である(改正法30条5項、改正規則6条の2各号)。
本人からの請求に対する対応について②短期保存データが保有個人データに含まれることに
現行法は、6ヶ月以内に消去することとなる個人データ(短期保存データ)については、「保有個人データ」に含まれないとしていた(現行法2条7項、施行令5条)。
改正法は、短期保存データについても、保有個人データに含めることとし、本人からの開示、利用停止等の請求の対象としている(改正法2条7項)。
本人からの請求に対する対応について③保有個人データの開示方法の拡大
現行法28条は、本人が個人情報取扱事業者に対して当該本人が識別される保有個人データの開示を請求することができると定めており、請求を受けた個人情報取扱事業者は、一定の例外的場合を除き開示の義務を負い、原則として書面を交付する方法により開示しなければならないとされていた(現行法28条1項、同条2項、施行令9条)。
改正法は、個人情報取扱事業者の開示の方法を電磁的記録の提供による方法を含めて、本人が指示できるようにしている(改正法28条、改正規則18条の6)。
本人からの請求に対する対応について④改正への対応
以上の改正により、本人からの請求が認められる場合が増え、請求の対象となる保有個人データが増え、請求への対応方法についても多様化したことになる。
現行法上、個人情報取扱事業者は、開示・訂正・利用停止請求を受け付ける方法を定めることができるとされ(現行法32条1項)、保有個人データに関して利用目的や開示に応じる手続を公表する義務を負っている(現行法27条1項)。これを受けて、個人情報取扱事業者はプライバシーポリシーなどにおいてこれらの事項を公表していることが多い。
改正によって本人からの請求を受ける場面が増えることになるため、自社において短期保存データを本人からの請求の対象としているか、どのような開示方法を行っているかを確認し、必要に応じてプライバシーポリシーの改訂や、開示方法のデジタル化対応を行う必要が生じるものと考えられる。
▼令和2年改正個人情報保護法を詳しく学ぶ
【オンライン受講】令和2年改正個人情報保護法の実務対応ポイント
【会場受講】令和2年改正個人情報保護法の実務対応ポイント
- 寄稿
-
弁護士法人中央総合法律事務所
弁護士
西中 宇紘 氏2013年12月弁護士登録(66期)。
2014年1月弁護士法人中央総合法律事務所(大阪事
務所)入所。2017年10月24日宅地建物取引士登
録。金融法務と不動産関連法務を主たる取り扱い分野と
している。一部上場企業から中小企業・一人会社まで
様々な企業規模のクライアントにかかる企業法務を中心
に、一般民事や刑事事件まで幅広い分野の法律相談業務
や訴訟対応を数多く行う。
