〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

特集記事
Special Topics

2024.06.19

個人情報の漏えい等報告についてのFAQ

執筆弁護士

<目次>
1. 報告義務のある漏えい等か
2. 個人情報保護委員会への報告
3. 本人への通知
4. 公表
5. 行政指導

2022年4月に個人情報の漏えい等報告が義務化され約2年が経過しました。個人情報保護委員会「令和5年度年次報告」によれば、2023年度の漏えい等報告の件数は12120件(うち個情委受付分7075件)でした。2022年度の漏えい等報告件数が7685件(うち個情委受付分4217件)だったことと比較すると、報告件数は著しく増加しています。
本特集記事では実務上のよくある疑問点について考え方を解説いたします。

1. 報告義務のある漏えい等か

個人データの漏えい、滅失及び毀損(以下「漏えい等」といいます。)のうち、個人情報保護法規則7条各号に該当する場合(以下「報告対象事態」といいます。)は、個人情報保護委員会への報告と本人への通知を行わなければなりません。
実務上、本人への通知や、通知が困難な場合の公表には、コストとリスクが生じますが、報告対象事態であるときは、ほとんどの場合に本人通知もしくは公表又はその両方を行わなければならないこととなります。
したがって、発生した漏えい等事案が、本当に報告対象事態に該当するかは慎重に検討する必要があります。

Q1業務提携をしている企業に個人データを提供していたところ、業務提携先に不正アクセスがあり、当社が提供した個人データの漏えいが発生しました。当社にも漏えい等報告義務があるのでしょうか。

本人の同意に基づく第三者提供、オプトアウトによる第三者提供、事業承継・共同利用による提供を行っていた場合、提供元には漏えい等報告義務はありません。
漏えい等報告は、「その取り扱う個人データの漏えい、滅失、毀損」が生じたときに報告義務が生じると定められているため(個人情報保護法(以下「個情法」といいます。)26条1項)、原則として漏えい等した個人データを取り扱う個人情報取扱事業者のみが漏えい等報告義務を負います(ガイドライン通則編3-5-3-2)。
ただし、個人データの取扱いの委託を行っている場合に、委託先において委託に伴い提供した個人データの漏えい等が発生した場合、当該個人データは委託元にとっても「その取り扱う個人データ」に当たることから、委託先のみならず、委託元も漏えい等報告義務を負うこととなります(ガイドライン通則編3-5-3-2)。
したがって、委託以外の根拠により提供した個人データが提供先において漏えいした場合、提供元の個人情報取扱事業者は漏えい等報告義務を負いません。
そこで、業務提携をしている企業において、自社が提供した個人データの漏えい等が発生した場合は、その個人データの提供の根拠を確認する必要があります。

Q2氏名、住所、メールアドレス、会員番号、購買履歴を含む会員データベースに不正アクセスがあり、ランダムな英数字10桁の会員IDだけが流出しました。流出した会員IDを取得した者が特定の個人を識別できるとは思えません。この場合も報告義務があるのでしょうか。

報告義務があります。
漏えい等報告の対象は「個人データ」ですが、漏えい等した情報が「個人データ」に該当するかは、当該情報を取り扱っていた個人情報取扱事業者を基準に考えます。氏名、住所、メールアドレス、会員番号、購買履歴を含む会員データベースは、個人情報データベース等であるところ、これに含まれる会員IDは個人データに該当するため、報告義務があることとなります。

Q3個人データを含むメールを取引先に誤送信しました。取引先は当該メールを開封せずに削除してくれたようですが、報告義務がないとするためにはどのような対応をしておくべきでしょうか。

取引先から個人データを閲覧せずに削除した旨の書面等の何らかの証跡を受領することが考えられます。
個人データが外部に流出した場合であっても、当該個人データを第三者に閲覧されないうちに全てを回収した場合は漏えいに該当しないとされております(ガイドライン通則編3-5-1-2)。
例えば、個人データを含むメールを第三者に誤送信した場合において、当該第三者が当該メールを削除するまでの間に当該メールに含まれる個人データを閲覧していないことが確認された場合は、漏えいに該当しませんが、誤送信先の取扱いが確認できない場合は、漏えい又は漏えい等のおそれに該当するとされております(Q&A6-2)。
個人データを閲覧していないことを確認する具体的な方法としては、当該第三者から申告を受ける方法等が考えられるとされております(2021年8月2日パブリックコメント97番)。
個人データを閲覧していないことを確認する具体的な方法は法令上定められておりませんが、後日監督当局から漏えい等報告を行っていないことについて指摘を受けた際に証拠を示せるようにしておくという観点からは、書面やメールなど何らかの証跡を残しておくことが考えられます。

Q4当社では、これまで本人の同意を得ず、顧客の個人データを取引先企業に提供していたことが判明しました。これは漏えい等報告が必要なのでしょうか。

漏えいには該当しないとして、漏えい等報告義務を負わない場合があり得ます。
個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合は、漏えい等に該当しないとされております(ガイドライン通則編3-5-1-2)。したがって、当該顧客の個人データを取引先企業に提供する業務マニュアルがあった場合など、企業が自らの意図に基づいて顧客の個人データを取引先企業に提供していたといえる場合には、漏えいには該当せず、漏えい等報告義務は負わない場合もあり得ます。
もっとも、この場合本人の同意なく個人データの第三者提供を行ったとして、個情法27条1項違反となる可能性があることには留意が必要です。

2. 個人情報保護委員会への報告

Q5当社の顧客情報が保管されているサーバに不正アクセスがあった形跡があり、顧客情報が漏えいした可能性があります。現在状況を調査中ですが、まだ詳細がわかっていません。状況が明らかになるまで個人情報保護委員会への報告を行わなくてもいいでしょうか。

漏えいのおそれがある場合は、詳細が分かっていなくても報告対象事態を知った時から概ね5日以内(初日参入)に速報を行わなければなりません。
漏えい等の「おそれ」が生じた場合、それが報告対象事態に当たるのであれば、個人情報取扱事業者のいずれかの部署が当該事態を知った時から、概ね3~5日以内に速報を行わなければならないこととされております(ガイドライン通則編3-5-3-3)。
速報を漏えいのおそれの発覚後28日目に行ったことを理由として、組織的安全管理措置に不備があったと行政指導がなされた事案もあるため(個人情報保護委員会「青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について」(2023年11月29日))、期限内に速報を行えるよう迅速な対応が求められます。
なお、2023年度の漏えい等報告12120件中、1328件は任意報告となっています。この任意報告には速報提出後に報告対象事態ではないことが明らかになったものが含まれています(個人情報保護委員会「令和5年度年次報告」33頁)。したがって、いったん速報を行ったものの、その後の調査の結果、確報期限までに報告対象事態ではないことが発覚するということは珍しいケースではないということがわかります。

Q6漏えい等のおそれが生じたため、個人情報保護委員会に速報を行おうとしていますが、現在調査中のため、詳細な原因はわかっておらず、再発防止策も検討できていません。この場合速報には何を書けばいいでしょうか。

速報を行う時点において把握している内容を報告すれば足りますガイドライン通則編3-5-3-3)。
例えば、原因については現在調査中であること、再発防止策については検討中であることを記載することが考えられます。

Q7速報は、個人情報取扱事業者が報告対象事態を知った時点から概ね3~5日以内に行わなければならないとされていますが、間に休日、祝日を挟む場合も5日以内に対応しなければならないのでしょうか。

休日、祝日を挟む場合も5日以内に速報を行なうことができるよう対応する必要があります。
確報の場合は、報告期限の日数自体が個人情報保護法規則8条2に定められているのに対し、速報の期限は「速やかに」と定められており、「3~5日」は「速やかに」の目安とされています。また、「3~5日」には、土日・祝日も含まれているとされています(2021年8月2日パブリックコメント219番)。また、初日を含めて計算します(同221番、223番)
したがって、3~5日の間に休日、祝日が含まれる場合であっても、可能な限り初日を含めて5日以内に速報を行うことができよう対応していく必要があります。

Q8個人情報保護委員会に速報を提出しましたが、その後漏えい等のおそれは生じていなかったことが判明しました。確報はどのように対応すればよいのでしょうか。

実務上、漏えい等のおそれが生じていなかった旨の確報を行うことが考えられます。
調査の結果、漏えい等のおそれが生じていなかったことが判明した場合、報告対象事態は発生していないため、漏えい等報告の義務もないこととなります。もっとも、速報を提出したにもかかわらず、その後確報を提出しないでいると、個人情報保護委員会から確報を怠っているとの疑義を持たれてしまうことから、任意報告として確報を行い、漏えい等のおそれが生じていなかったことが判明した旨を報告することが考えられます。

3. 本人への通知

Q9現在当社に在籍している従業員の個人情報のみが漏えいしました。この場合、メールや郵送以外の本人通知の方法はありますか。

漏えいした個人データにかかる従業員全員が見ると想定されるイントラネットに掲載することが考えられます。
「本人への通知」とは、本人に直接知らしめることをいい、事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければなりません。具体的な方法が法令上定められているものではありませんが、本人にとって分かりやすい形で通知を行うことが望ましいとされています(ガイドライン通則編3-5-4-3)。
具体例としては、口頭で知らせることや、電子メール、FAX等により送信、文書を郵便等で送付することが挙げられております。
もっとも、本人に直接知らしめることができればよいことから、自社に在籍している従業員の個人情報のみが漏えい等した場合は、自社に全従業員が見るイントラネットを備えているのであれば、当該イントラネットに本人への通知事項を掲載することで、本人に直接知らしめたとすることができると考えられます。
Q12で述べるとおり、本人への通知は自社が有する本人への連絡手段の全てを用いて試みる必要があり、実務上、対応に工夫が必要となります。当該漏えい等事案の性質に応じて、適切な本人通知の手段を検討することが有益です。

Q10本人通知はいつまでに行えばいいのでしょうか。

実務上は、遅くとも確報を行うまでには本人通知を実施するか、実施の目途を付けることが考えられます。
本人への通知は、報告対象事態を知った後、当該事態の状況に応じて速やかに行わなければならないとされており(個人情報保護法規則10条)、具体的には、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断するとされております(ガイドライン通則編3-5-4-1)。したがって、本人への通知を行うことが可能となり次第、本人への通知は行うこととなります。
なお、確報では「本人への対応の実施状況」を報告しなければならないこととなっており(個人情報保護法規則8条2項、8条1項6号)、報告内容が不十分な場合には確報の続報を求められる可能性があることから、実務的には、遅くとも確報までには、本人への通知を行うかその目途を付けておくことが求められると考えるべきでしょう。

Q11個人情報保護委員会に速報を提出しましたが、その後漏えい等のおそれは生じていなかったことが判明しました。この場合も本人通知を行わなければならないのでしょうか。

本人通知を行う必要はありません。
本人への通知は、「本人の権利利益を保護するために必要な範囲において」行うものとされているため、調査の結果、漏えい等のおそれが生じていなかったなど、報告対象事態に該当していなかったことが判明した場合は、本人への通知は不要とされております(ガイドライン通則編3-5-4-3)。

Q12本人への通知が困難な場合の代替措置としての公表を行うためには、どの程度本人への通知を試みる必要がありますか。

原則として、自社が有する本人への連絡手段の全てを用いて本人通知を試みる必要があると考えられます。
この点、複数の連絡手段を有している場合において、1つの手段で連絡ができなかったとしても、直ちに「本人への通知が困難である場合」に該当するものではなく、例えば本人の連絡先として住所と電話番号を把握しており、住所に書面を郵送したものの、本人が居住していないとして当該書面が還付された場合は、電話により連絡することが考えられると示されております(Q&A6-30)。
もっとも、本人への通知が困難な場合には、連絡先が古いために通知を行う時点で本人へ連絡できない場合も含まれるとされているため(ガイドライン通則編3-5-4-5)、個別の事案によっては、住所や、電話番号、メールアドレスといった情報を保有している場合であっても、本人への通知を試みることなく、「本人への通知が困難である場合」に該当するとして、公表により対応することができる場合もあり得ると考えられます。
なお、漏えい等した個人情報にかかる本人として、退職者や既にサービスを退会した者、過去のサービス利用者など、現に自社と接点があるわけではない者が含まれている場合は、現時点で本人に通知が行える有効な連絡先を把握しておらず、本人への通知が困難である場合が発生する可能性が高いと思われます。したがって、上記のような本人を含む場合には、公表による対応を行わなければならなくなる可能性が高いことに留意しておく必要があると考えられます。

4. 公表

Q13漏えい等事案を公表しなければならない場合はどんな場合でしょうか。

本人に通知できる連絡先がわからない場合や、漏えい等により適時開示を行わなければならない事象が発生した場合が考えられます。
個人情報保護法との関係では、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講じなければならず(個情法26条2項)、代替措置の代表的な方法が公表です。したがって、連絡先を保有していない場合、保有する連絡先が古いため本人に連絡できない場合、保有する連絡先のいずれによっても本人に連絡がとれない場合などは、本人に通知しなければならない事項を公表することで対応することとなります。他方で、本人への通知を行うことが可能である場合は、個人情報保護法上は事案の公表は義務付けられていません。
これに加えて、適時開示のために漏えい等の事実を公表しなければならない場合があります。例えば、ランサムウェア攻撃を受けたことにより、財務会計システムを利用することができなくなったことで、有価証券報告書・四半期報告書等の提出期限延長に関する承認申請書を提出した場合には、当該事実を適示開示する必要があります。
また、自主的な公表を行うか否かについては、特集記事「ランサムウェア攻撃を受けた際の実務対応」もご参照ください。

Q14本人への通知が困難な場合、公表以外の方法により代替措置を講じることはできますか。

問合せ窓口を設置し対応することもあり得ますが、漏えい等の事実があったこと自体を全く公表せずに対応できる場合は限定的であると考えられます。
代替措置としては、事案の公表のほか、「問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること」も挙げられています(ガイドライン通則編3-5-4-5)。また、この問合せ窓口は、常設している個人情報の取扱いに関する相談を受け付ける窓口を利用することも可能とされているため(Q&A6-31)、お客様相談室など代表の問合せ窓口があり、当該窓口において個人情報の取扱いに関する相談を受け付けている場合は、代表問合せ窓口を漏えい等の問合せ窓口とすることも可能であると考えられます。
もっとも代替措置が「本人の権利利益を保護するため必要なこれに代わるべき措置」であることを踏まえると、一般的には、当該問い合わせ窓口を案内するに当たり、漏えい等事案に関する問い合わせを受ける窓口であることは示す必要があるのではないかと考えられます。

Q15当社のホームページで公表を行う場合、どのように公表を行う必要がありますか。

実務上は、トップページの「お知らせ」や「ニュース」欄に個人情報の漏えい等についての通知についてのリンクを置き、当該リンクの遷移先に本人への通知の要件を満たす内容を掲載する事例が多いものと思われます。

5. 行政指導

Q16個人情報保護委員会に漏えい等報告を行った場合、必ず行政指導をされるのでしょうか。

漏えい等報告を行った場合に、必ず行政指導を受けるわけではありませんが、行政指導を受ける可能性は相当程度あります。
2023年度の個人情報取扱事業者の個人情報保護委員会に対する報告対象事態の漏えい等報告の件数は7075件であるのに対し、同期間の行政指導及び助言の件数は333件となっております(※1)。ただし、この行政指導及び助言は漏えい等に関する行政指導以外のものも含まれています(個人情報保護委員会「令和5年度年次報告」33頁)。
これらを踏まえると、漏えい等報告を行った場合に、行政指導が行われるケースは少ないといえます。
もっとも、漏えい等が発生した以上、何らかの安全管理措置義務違反が発生していたとの認定はされやすく、事案の内容によっては行政指導を受ける可能性も十分あり得ると考えられます。また、行政指導の件数は、下記のとおり著しく増加しており、個人情報保護委員会が積極的に指導を行おうとしているようにも思われます。
なお、個人情報保護委員会からの報告徴収に期限内に応じなかったことを理由に行政指導がなされた事案もあることから(リンク)、漏えい等が発生した以上は、真摯に対応していくことが重要であると考えられます。

漏えい等報告件数委員会直接報告分行政指導及び助言勧告公表事案
(報道発表数)
2023年度12120件7075件333件3件10件
2022年度7685件4217件115件1件4件(※2)

※1 なお、2023度に行われた漏えい等報告に関する行政指導が2024年度以降に行われることや、2023年度に行われた行政指導が2022年度以前に行われた漏えい等報告に関するものである場合があり得ます。
※2 破産者マップ事案に関する一連の執行事案を除く。

Q17個人情報保護委員会から行政指導を行う可能性があると言われました。この場合、事案の公表もされてしまうのでしょうか。

行政指導を受けた場合であっても、必ずしも事案の公表がされるものではありません。
2023年度中に公表された行政指導にかかる事案は、報道発表の件数ベースで10件であり、行政指導を受けたとしても事案の公表までされるケースは限定的であると考えられます。
もっとも、漏えい等した個人データにかかる本人の数が大量であることや、本人の性質が一般消費者であること、個人データの性質が機微性の高いもの、内部不正によるもの、他省庁による行政指導が行われていることその他の事情などにより、社会的な影響が大きい事案については行政指導の事実が公表される傾向にあるため、注意が必要となります。

参考:
ニューズレター「個人情報保護委員会による行政指導の近時の傾向」(2023.08.30)
ニューズレター「個人情報保護委員会による行政指導の近時の傾向(2023年9月~2024年1月)」(2024.01.30)

関連記事