〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter

2024.03.19

個人情報保護法規則・ガイドライン改正に関するQ&A及び分野別ガイドラインの公表

執筆弁護士

<目次>
1.Q&Aの更新
(1) フィッシングサイトについて(改正後Q&A6-7)
(2) 不正行為の相手方に含まれる第三者(改正後Q&A6-16)
2.分野別ガイドラインの改正

2024年4月1日から施行される漏えい等報告の対象拡大に関する個人情報保護法規則の改正などに関するQ&Aが、2024年3月1日に公表されました(「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの更新)。また、個人情報保護法の分野別ガイドラインも改正されております。これにより、今回の個人情報保護法規則・ガイドライン改正に関する文書は一通り公表されたものと思われます。
本ニューズレターでは、Q&Aの内容と、分野別ガイドラインについて解説します。なお、個人情報保護法規則・ガイドラインの改正概要については、個人情報保護法規則・ガイドラインのパブリックコメント結果の公表(2023年12月18日)個人情報保護法規則・ガイドラインの改正案の公表(2023年9月13日)をご参照ください。

1. Q&Aの更新

個人情報保護法に関しては、法律、施行令、規則のほか、法令を解説するガイドラインに加え、個人情報保護委員会が公表する具体的な事例などを解説する「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(令和6年3月1日更新版(令和6年4月1日施行))があります。今回新たに追加されたQ&Aのうち注目すべきものは以下のとおりです。

(1)フィッシングサイトについて(改正後Q&A6-7

フィッシングサイトについては、①「本人が、当該個人情報取扱事業者の正規のウェブサイトや当該個人情報取扱事業者が送信したメール等を経由せずに偽のウェブサイトにアクセスし、IDやパスワード等を入力した場合」については、直ちに「当該個人情報取扱事業者に対する行為」に該当するものではなく、報告対象事態には当たらないとの見解が示されております。
他方、②「第三者が、偽のウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイト又は当該個人情報取扱事業者が送信したメール等に不正に設置又は記載し、本人が、当該リンクをクリックして当該偽のウェブサイトにアクセスし、IDやパスワード等を入力した場合」については、「当該個人情報取扱事業者に対する行為」には該当します。もっとも、偽装ウェブサイトに入力された情報が、当該個人情報取扱事業者が「取得しようとしている」情報に該当するか否かは、個別の事案ごとに判断されるとし、例えば、正規のウェブサイト上の、ID及びパスワード等を入力する入力ページに遷移するためのリンクが改ざんされていた場合に、当該リンクをクリックした個人が、当該クリックにより遷移した偽の入力ページにおいてID及びパスワード等を入力したときには、当該ID及びパスワード等は「取得しようとしている」情報に当たるとの見解が示されております。
②に関し、第三者が偽のウェブサイトに遷移するリンクを、個人情報取扱事業者の正規のウェブサイトまたは送信したメール等に不正に設置又は記載し、本人が当該リンクをクリックして、何らかの情報を入力した場合で、入力した情報が、個人情報取扱事業者が「取得しようとしている」情報に当たらない場合についての具体例は示されておりません。もっとも、例えば、フィッシングサイトが当該サイトにおいて本人に入力させることで独自に取得した情報は、個人情報取扱事業者が「取得しようとしている」情報に該当するかについて検討する余地があるように考えられます。

また、旧Q&A6-6では、本人がフィッシングサイトにアクセスし、個人情報取扱事業者が取り扱う個人データと同じ内容の情報(ID・パスワード等)を入力した場合は、報告対象ではないとの記載がありましたが、今回の個人情報保護法規則改正により、上記のとおり漏えい等報告の対象となる場合とならない場合があることになったため、上記の記載は削除されました。

(2)不正行為の相手方に含まれる第三者(改正後Q&A6-16

不正行為の相手方である「当該個人情報取扱事業者」には、個人情報取扱事業者自身や個人データの取扱いを委託している場合における委託先のみならず、当該個人情報取扱事業者が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれるとの見解が示されておりましたが、以下のとおり第三者の例が新たに示されています。

○個人情報取扱事業者が、ダイレクトメールの発送業務を外部事業者に委託し、これに伴い、ダイレクトメールの送付先である顧客の氏名や住所等の個人データを当該外部事業者に伝えている場合における、当該外部事業者
○個人情報取扱事業者が入力フォーム作成ツールを利用して個人情報を取得・管理している場合における、当該ツールの提供事業者
○個人情報取扱事業者がストレージサービスを利用して個人データ又は個人情報を保管している場合における、当該サービスの提供事業者
○SNSを運営する個人情報取扱事業者が、第三者のウェブサイトに当該SNSの「ボタン」等を設置し、当該ウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得している場合における、当該第三者
○決済代行サービスを提供する個人情報取扱事業者が、ECサイトの決済ページにタグを設置し、当該ページに入力されたクレジットカード情報等の個人情報を取得している場合における、当該ECサイトの運営事業者
○決済代行サービスを提供する個人情報取扱事業者が、自らの管理する決済ページに遷移するリンクをECサイトに設置し、当該ページに入力されたクレジットカード情報等の個人情報を取得している場合における、当該ECサイトの運営事業者
○個人情報取扱事業者が、入力フォーム最適化サービスやスマートフォンサイト自動変換サービス等を利用し、自己のウェブサイト上の入力ページに入力された個人情報を取得している場合における、当該サービスの提供事業者
○個人情報取扱事業者が、短縮URL作成サービスを利用し、当該サービスを利用して作成された短縮URLに係るリンクをクリックして自己のウェブサイト上の入力ページに遷移した個人から個人情報を取得している場合における、当該サービスの提供事業者
○個人情報取扱事業者が、アクセス解析ツールを利用し、自己のウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得・管理している場合における、当該ツールの提供事業者
〇個人情報取扱事業者が、返信用封筒を顧客に配布し、配送事業者による当該返信用封筒の配送を通じて個人情報を取得している場合における、当該配送事業者

企業においては、上記の例に挙げられたようなサービスの利用の有無を調査し、このような第三者に対する不正行為により個人データが漏えいしたことを自社が適時に把握できるよう、第三者との契約でインシデント報告を義務付けるなどの対応を行うことが考えられます。

2. 分野別ガイドラインの改正

個人情報保護法には、金融、電気通信、医療などの各分野別にガイドラインやQ&Aが定められています。基本的には、個人情報保護法を各事業分野における具体的な取扱いに即して解説する内容が多いですが、ガイドラインによっては、個人情報保護法に加えて、事業法に基づく上乗せの義務が定められている場合もあるため、自社における個人情報の取り扱いについて、分野別ガイドラインの適用があるか注意する必要があります。
今回の個人情報保護法規則・ガイドライン改正の影響を受けて、各分野別ガイドラインも改正されておりますが、現時点で公表されたもの(※)については、パブリックコメントは実施されず、個人情報保護法規則・ガイドライン改正に伴い当然必要とされる規定の整理を行ったのみであり(行政手続法39条4項8号)、実質的な改正はなかったこととされています。
実際の改正内容をみても、個人情報保護法規則・ガイドラインの改正を反映した改正が行われているのみですので、個人情報保護法規則・ガイドラインの改正についての対応及び従前からの分野別ガイドラインへの対応を行えば、新たに分野別ガイドラインの改正についての対応を行う必要はないと考えられます。

※…金融分野、信用分野、債権回収業分野、電気通信事業、放送、郵便事業分野、信書事業分野、個人遺伝情報を用いた事業分野、健康保険組合等・国民健康保険組合・国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンス

【過去の関連セミナー】

ニューズレターのメール配信はこちら