〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
事務所概要・アクセス
セミナー
セミナー
事務所概要・アクセス
事務所概要・アクセス
〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
© Ushijima & Partners All rights reserved.
ニューズレター
Newsletter
<目次>
1. 個人情報保護法規則・ガイドラインの改正の概要
(1) 安全管理措置の対象範囲の明確化(個人情報保護法23条)
(2) 不正の目的により生じた漏えい等の報告対象の拡大(個人情報保護法26条)
2. 2024年4月1日までに対応しなければならない事項
(1) 個人情報取扱規程等の見直し
(2) 保有個人データの安全管理措置にかかる公表事項の見直し
(3) 第三者との契約の見直し
(4) 基準適合体制により外国にある第三者に個人データを提供している場合におけるデータ移転契約の見直し
個人情報保護委員会は、2023年12月15日、「個人情報の保護に関する法律施行規則の一部を改正する規則案」等に関するパブリックコメントの結果(以下「パブリックコメント」といいます。)を公表し、2024年4月1日から施行される個人情報保護法規則及び各ガイドラインについても公表しました(第264回個人情報保護委員会資料(2023年12月15日))。
本ニューズレターでは、個人情報保護法規則・ガイドライン改正の概要及びパブリックコメント結果により明らかになった事項と、改正された規則・ガイドラインが施行される2024年4月1日までに行わなければならない実務対応について解説します。
なお、個人情報保護法規則・ガイドラインの改正の詳細については、個人情報保護法規則・ガイドラインの改正案の公表(2023年9月13日)もご参照ください。
1. 個人情報保護法規則・ガイドラインの改正の概要
(1)安全管理措置の対象範囲の明確化(個人情報保護法23条)
個人情報保護法23条は、「その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定めているところ、既に個人情報データベース等を構成する個人データのみならず、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」も安全管理措置の対象であることが明確化されました。
この点、第三者から自社が個人情報の提供を受ける場合で、当該個人情報を自社において個人データとして取り扱うことを予定している場合も、自社を原因とする漏えい等を防止するために必要かつ適切な措置を講じることは、安全管理措置の対象であるとされています(パブリックコメント31番)。
なお、安全管理措置の対象範囲について、個人情報保護委員会は従前からの解釈を明確化したものと整理しており、改正ガイドラインの施行前、すなわち2024年4月1日以前においても、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものについて、安全管理措置を講ずる必要があるとされています(パブリックコメント27番)。
(2)不正の目的により生じた漏えい等の報告対象の拡大(個人情報保護法26条)
ア 概要
本規則改正では、漏えい等報告の対象について定める個人情報保護法規則7条3号が、以下のとおり改正されています。
| 現在 | 改正規則 |
|---|---|
| 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態 | 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態 |
本規則改正は、Webスキミングを念頭においた改正であり(第253回個人情報保護委員会議事概要)、漏えい等報告の対象が、既に個人情報データベース等を構成している状態の個人データのみならず、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」にまで拡大しています。そのうえで、報告対象事態の範囲を限定するために、不正行為の対象が、「当該個人情報取扱事業者に対する行為」に限定されていると考えることができます。
なお、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」の漏えい等事案は、本改正規則の施行日である2024年4月1日以降に発生したものに限って漏えい等報告が義務付けられ、2024年3月31日までに漏えい等が発生していたものの、事業者が漏えい等を知ったのが2024年4月1日以降であるものに漏えい等報告義務はありません(パブリックコメント9番参照)。
イ 個人情報取扱事業者に対する行為
不正の目的をもって行われた行為を受ける者としては、個人情報取扱事業者のみならず、委託先や、個人情報取扱事業者が個人データ又は個人情報を取り扱うにあたって第三者の提供するサービスを利用している場合における当該第三者を含むとされています。
この、第三者の一例として、個人情報取扱事業者が、個人情報の取得手段として外部の事業者のサービスを活用している場合における、当該外部の事業者が含まれることが明らかになりました(パブリックコメント47番)。
また、顧客が事業者に申込書を送付したが、配送過程で窃盗にあい所在不明となった場合について、個別の事案に応じて判断する必要があるものの、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為」に該当し得るとの見解が示されています(パブリックコメント13番)。
さらに、不正行為の対象者には、個人情報取扱事業者が個人データとして取り扱うことを予定している個人情報の取扱いを第三者に委託する場合で、当該第三者が当該個人情報を個人データとして取り扱う予定はない場合の第三者も含まれるとされています(通則ガイドライン案3-5-3-1(3))。例えば個人情報であるアンケート回答の回収を第三者に業務委託するものの、当該第三者においてアンケート回答の整理等は行わせず、体系的に構成しないまま、業務委託元に提供させ、業務委託元において、個人情報データベース等として整理する場合が該当するものと思われます(パブリックコメント30番参照)。なお、この場合、業務委託元は漏えい等報告義務を負いますが、業務委託先は漏えい等報告義務を負わないと解されています(パブリックコメント59番)。
ウ 個人データとして取り扱われることが予定されているもの
個人情報取扱事業者が取得し、又は取得しようとしている個人情報のうち、個人データとして取り扱われることが予定されているもの、すなわち、個人情報データベース等へ入力することが予定されている個人情報が漏えい等報告の対象とされています。
この点、「個人データとして取り扱われることが予定されているもの」に該当するかどうかは、漏えい等又はそのおそれが発生した時点を基準として、個別の事案に応じて判断する必要があるとされており(パブリックコメント17番)、当初は個人データとして取り扱われることが予定されていた個人情報が、その予定がなくなった後に漏えい等し又はそのおそれが生じた場合は、漏えい等報告の対象ではないとされています(パブリックコメント50番)。
2. 2024年4月1日までに対応しなければならない事項
(1)個人情報取扱規程等の見直し
まず、個人情報取扱規程や情報セキュリティ規程などにおける安全管理措置の対象について、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」を含める必要があります。なお、前述したとおり、これらは2024年4月1日以前においても安全管理措置の対象とすべきものであるとされておりますので、できるだけ早い時期に対応する必要があると考えられます。
次に、漏えい等報告に関する規程について、報告対象を修正する必要があります。特に、顧客から取得した名刺でまだ社内データベースに登録される前の段階の前のものを盗まれた場合や、ウェブサイトを改ざん等されたことにより、取得しようとしている個人情報が第三者に不正に送信されてしまった場合も漏えい等報告の対象となることは、各社員に対し周知する必要があると考えられます。
また、漏えい等報告は、3~5日以内に速報を行わなければならないため、自社の取り扱う個人情報のうち、どの情報が「個人データとして取り扱うことを予定している個人情報」に含まれるかをあらかじめ指定しておくことが考えられます。
(2)保有個人データの安全管理措置にかかる公表事項の見直し
保有個人データの安全管理措置のために講じた措置は本人の知り得る状態に置かなければならないこととなっており(個人情報保護法32条1項4号、施行令10条1号)、実務上はプライバシーポリシー等で公表している企業も多くあります。今回の改正により、これに、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取り扱うことを予定しているものの漏えい等を防止するために講じた措置も含まれる」ことが明らかになりました(改正通則ガイドライン3-8-1)。
もっとも、個人データごとに安全管理措置を公表することが求められているものではないため、個人データとして取り扱われることが予定されている個人情報についての安全管理措置が、個人データについての安全管理措置に含まれているならば、具体的な公表事項を変更する必要はないものと思われます。
(3)第三者との契約の見直し
規則7条3号は、個人情報取扱事業者のみならず、委託先や、個人情報取扱事業者が個人データ又は個人情報を取り扱うにあたって第三者の提供するサービスを利用している場合における当該第三者に対する不正の目的をもって行われた行為による漏えい等が、漏えい等報告の対象となっているところ、漏えい等報告を行うためには、第三者が提供するサービスに不正の目的による行為が行われたことで個人データ等の漏えい等が発生した場合、当該第三者からその報告を受ける必要があります。
現在、個人データの取扱いの委託先との契約において、「委託先は、個人情報の漏えい等の事案が発生し、又は発生したおそれがある場合には、直ちに、委託元に報告しなければならない」といった規定がなされている場合が多いと思われますが、このような規定を、個人データの「取扱い」は委託していないものの、個人情報を取得するために利用しているサービスの提供者(個人情報を入力するためのウェブフォームを提供するサービスなど)や、個人情報の回収は業務委託しているものの、データベースとして整理することまでは委託していない第三者(アンケート用紙の回収など)など者との契約にも含める必要があります。
(4)基準適合体制により外国にある第三者に個人データを提供している場合におけるデータ移転契約の見直し
外国にある第三者に個人データを提供する場合、基準適合体制を整備することで本人の同意なく個人データを提供する場合があります(個人情報保護法28条)。このとき、個人情報保護法の趣旨に沿った措置の実施を確保するために、データ移転契約や、企業グループ内での個人データの取扱いに関する規程を締結することが考えられます(外国第三者ガイドライン4-1)。
このようなデータ移転契約等には、安全管理措置に関する事項を含めることとなるところ、本ガイドラインの改正に伴い、データ移転契約等における安全管理措置の対象に「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」を含めなければならないことが明らかになったため(パブリックコメント26番参照)、データ移転契約等の内容を確認し、必要に応じて修正する必要があります。
本改正に関する無料セミナーを、以下のとおり2024年1月12日(金)に実施します。お気軽にお申し込みください。
U&Pリーガルセミナー「2024年4月1日施行 個人情報保護法規則・ガイドライン改正の実務対応」(中井杏)(2024/1/12 16:00~(後日の配信も予定))