個人情報を一切取り扱わない事業者は、なかなかないのではないでしょうか。
あってはならないことではありますが、もし個人情報が漏洩してしまったらどのようにするべきか、皆様は把握していますか？
詳細は後述しますが、個人データの漏洩等事案が発生した場合、個人情報保護委員会への報告が必要であり、その報告には日数の縛りが存在します。
そのため、もし事業で個人情報を取り扱っている場合は、あらかじめ、漏洩等事案が発生した場合の行動内容を確認し、対応内容を具体的に設定しておかなければなりません。
例年、個人情報保護委員会に報告されている漏洩等事案は、年間約4000件、単純に日割りすると、1日約11件の漏洩等事案が発生しており、決して「他人ごと」ではありません。
今回は、2022年年度頭に施行された「漏洩等報告・本人への通知の義務化」についてです。

個人情報とは

まず、個人情報が何かを再確認しましょう。
ちなみに、個人データと記載されている場合もあります。似ている文言ですが、厳密には個人情報と個人データは違うので、注意が必要です。

個人情報

生存する個人に関する情報で、

・氏名、生年月日、その他の記述等により特定の個人を識別できるもの
・その情報単体では識別できずとも、他の情報と容易に照合することができ、それによって個人が識別できるもの
・個人識別符号（マイナンバー、運転免許、パスポートの番号や、指紋や静脈などの身体的特徴を変換した符号）

が対象です。
また、この情報は、映像や音声によるものも含まれます。

加えて、仮に何らかの方法（刊行物に掲載されるなど）で公にされていたとしても、「個人情報」であるとしています。

個人データ

「個人情報データベース等」を構成する個人情報を言います。
「個人情報データベース」は、PCの検索機能や、紙媒体でも、目次・索引などで検索ができるように、整理・分類された個人情報の集合体をさします。

漏洩等事件が起こるときは、たいていの場合、個人情報1件だけではなく、データの集合体が漏洩しますので、今回の記事では、「個人データ」で統一します。

個人データの漏洩「等」とは

個人データの取り扱いで問題となるのは、漏洩（悪意ある第三者にわたること）だけではありません。

昨今は、漏洩だけではなく、「滅失」「既存」も、重要事項として、明確に取り上げられています。

漏洩

個人データが外部に流出した場合。
誤送付や盗難、不正アクセスがこれにあたります。

滅失

個人データの内容が失われること。
誤廃棄や、紛失を指します。
注意が必要なのは、紛失をした場合、これが社内での紛失であっても、「滅失にあたる」ということです。
ただし、このデータが、他にも保存されているような場合は、「滅失」には該当しません。

棄損

個人データの内容が、意図しない形で変更・利用不能な状態になること
ランサムウェアによる暗号化がこれにあたります。
ただし、この場合も滅失と同様、他の場所で同じデータが補完され、依然利用可能な状態であれば、「棄損」には当たりません。

もしも個人情報が漏洩してしまったら　…　報告義務について

2022年4月の改訂までは、本人への通知や個人情報保護委員会への報告は、「努力義務」とされていました。
しかし、この改訂にて、一定の要件に該当する漏洩等事案が発生した場合は、本人への通知や個人情報保護委員会への報告が義務化されました。
では、どのようなケースが、要件に該当するでしょうか。

どのようなケースで報告すべきか

次の1から４のいずれかに該当する場合、報告は義務です。

①要配慮個人情報（※）が含まれる個人データの漏洩等が発生した場合（又はそのおそれ）

②不正に利用されることにより、財産的被害が生じる可能性がある個人データが漏洩した（又はそのおそれ）

③不正の目的をもって行われたおそれがある個人データの漏洩等（又はそのおそれ）

④1000人以上の個人情報の漏洩等（又はそのおそれ）

項目をご覧いただければわかる通り、「漏洩等のおそれ」がある時点で、報告の義務が発生しますので、注意が必要です。
また、①～③の項目に該当する場合は、対象のデータの多寡にかかわらず、報告義務が発生します。

※要配慮個人情報とは　…　
個人情報保護法第2条第3項にて、以下の通り定められています。
「不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法令で定める記述等が含まれる個人情報。」
具体的には、本人の人種や信条、病歴、前科前歴などが当てはまります。

報告の主体

漏洩等の報告義務を負う主体は、漏洩等が発生し、またはその恐れがある個人データを取り扱う個人情報取扱事業者である、と定められています。
また、個人データの取り扱いを委託している場合は、委託元と委託先の双方が義務を負います。
この場合、連名で報告を行っても良いですし、委託先が詳細を委託元に報告、次いで委託元が個人情報保護委員会へ報告する形でもよいとされます。

報告の内容と方法

個人情報保護委員会への報告は「速報」と「確報」に分けて、個人情報保護委員会へ報告を行わなければいけません。

個人への対応は、個人情報保護委員会への報告とは別に対応が必要です。

さいごに

情報漏洩等事案が発生し、且つこれを報告しなかった場合について、以下の通り定められています。

個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等には、刑事罰（50万円以下の罰金）が科される可能性があります（法第182条）。また、個人情報保護委員会の命令に個人情報取扱事業者等が違反した場合には、個人情報保護委員会は、その旨を公表することができ（法第148条第４項）、加えて、当該命令に違反した者には、刑事罰（１年以下の懲役又は100万円以下の罰金）が科される可能性があります（法第178条）。

個人情報の保護をはじめとして、セキュリティへの投資は、営業利益の増加に直接的につながるわけではないので、投資の必要性に対して懐疑的な経営者の方もいらっしゃるでしょう。
ですが、個人情報の漏洩等が発生した場合、事態を隠蔽することは、最終的に事業継続に対して、大きな悪影響を及ぼします。
そのようなことがないように、予防、そして「もしも」の時の対応内容を、あらかじめ準備しておきましょう。