1.はじめに
近時、相当数の個人情報の漏えい事案*1や紛失事案が発生しており、被害に遭ったことのない事業者にとっても、もはや他人事ではない。個人情報に対する意識はますます高まっており、事業者にとっては、漏えい事案の防止に努めるのはもちろんのこと、漏えい事案が発生した場合に適切に対応することも重要となる。
そこで、2017年2月16日に個人情報保護委員会は「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」(以下「本告示」という)を公表した。本告示は、個人情報の漏えい等が発生した場合における事業者のとるべき対応を定めるものであり、事業者にとって重要性の高いものといえるだろう。
今回は、この本告示について、本告示に関するパブリックコメントの結果および個人情報保護委員会作成のQ&A*2(以下「Q&A」という)を踏まえ、解説する。
これまではガイドラインについて解説してきたが、ガイドライン通則編4では「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」としており、本告示に該当する内容を別枠で定めることを予定していた。その意味では、本告示はガイドラインが予定していた、ガイドラインの内容を補充するものといえよう。
【凡例】
法 個人情報の保護に関する法律(平成 15 年法律第 57 号)
規則 個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
改正法 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成 27 年法律第 65 号)
パブコメ 「個人データの漏えい等の事案が発生した場合等の対応について(案)」に関する意見募集の結果について(平成28年12月8日公示)
Q&A 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日)
2.本告示が適用される事案
本告示が適用されるのは以下の3つの場合である。
①個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く)の漏えい、滅失または毀損(本告示1(1))
②個人情報取扱事業者が保有する加工方法等情報(規則20条1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く)の漏えい(本告示1(2))
③上記①または②のおそれ(本告示1(3))
以下では、①から③について検討した後、本告示が適用されない事案についても確認する。
①個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く)の漏えい、滅失または毀損(本告示1(1))
個人データの漏えい、滅失または毀損があった場合、本告示が適用される。なお、マイナンバーを含む特定個人情報については、本告示とは別に規則等*3が定められており、そちらが適用される*4。
・個人データの意義
ここでいう「個人データ」は、法2条に規定する個人データをいう*5。個人データに該当するか否かは、漏えい等が問題となる情報を保有していた個人情報取扱事業者について判断される*6。
例えば、荷物のラベル等における記載は一見散在情報であり個人データではないようにも思える。しかし、個人情報データベース等を構成する情報から出力されたものであれば、個人データに該当するとされていることには留意が必要である*7。
また、「高度な暗号化等の秘匿化がされている」情報も個人情報であり、個人データになりうる*8。ただし、後述するように、「高度な暗号化等の秘匿化がされている」情報については、報告等の対応を行わなくてもよい場合がある。
・漏えい、毀損または滅失
漏えい、毀損、滅失については、基本的には意図せずに第三者に個人データが渡ることが漏えい*9、情報が破壊されるのが毀損、情報が全てなくなるのが滅失と理解される。紛失は、漏えいまたは滅失のいずれかに該当するものと理解される*10。
②個人情報取扱事業者が保有する加工方法等情報(規則20条1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く)の漏えい(本告示1(2))
匿名加工情報に関する加工方法等情報の漏えいの場合、本告示が適用される。例えば、10桁の数字について1桁目を10桁に、1桁目を9桁に……と加工したといった情報が漏えいすれば、匿名加工情報から元の個人情報を復元できる。そこで、このような加工方法等情報だと推定しうる情報の漏えいも本告示の対象となった*11。なお、加工方法等情報が単に滅失、毀損しただけでは本人に対する影響がない(元の個人情報を復元できない)ことから、本告示の対象とはなっていない。
この条文については、パブコメを経て変更がなされた*12 。この変更により、本告示の適用対象が、個人情報を匿名化する際に用いた情報一切を指すのではなく、規則20条で安全管理義務が課せられる「その情報を用いて当該個人情報を復元できる加工方法等情報」に限られることが明らかになった*13。
③上記①または②のおそれ(本告示1(3))
ここにいう「おそれ」とは、確定的に漏えい等が発生した場合に限らず、漏えい等のおそれがある場合をいう。「おそれ」の該当性については、個人データ等に関して生じた事象等の事情を勘案して個別の事例ごとに判断することとなるが、一般的には、個人データの漏えいが疑われるものの確証がないといった場合が該当すると考えられる*14。
④該当しない場合
・システム障害
例えば、個人情報データベース等にシステム障害が発生し長期間にわたって個人データを利用できないという事態は個人データの可用性に少なからぬ影響を与えるが、このような場合は本告示でいう「漏えい等」に該当しない*15。
・個人情報保護法違反
単に個人情報保護法違反があっただけでは「漏えい等」に該当しない*16 。この点については、特定個人情報の漏えいに関する告示*17が、「漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合」として、法違反全般を対象としている点と異なるため、留意が必要である。
3.個人情報取扱事業者がなすべき対応
では、本告示が適用される事案が発生した場合には、個人情報取扱事業者はどうすべきだろうか。
本告示は、漏えい等事案が発生した場合に、個人情報取扱事業者に対して一定の作為をすることが「望ましい」項目を6つ挙げている(本告示2)。
ただし、6つの項目全てを行う義務があるわけではない。条文上、「望ましい」と定めるにとどまり、一定の作為を「しなければならない」としていないのは、改正法20条は安全管理措置を規定するものの、それ以上に連絡・公表・報告等の対応を求める法的根拠がないからと理解される*18。事業者としては、個別の事案に応じて、漏えい等事案の影響、リスクを勘案しながら、どのような措置をとるか判断することになるだろう。
以下では、6つの項目について解説する。
①事業者内部における報告および被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずるものとされている。
第1に、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合に、責任ある立場の者に適切かつ迅速な報告がなされる連絡体制を整備しておくことが必要である。(Q&A12−1)。「責任ある立場の者」の役職は限定されていないが、事業者の規模等に応じて、担当役員や、部門長を定めることになると思われる。
第2に、「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置」として、個人データの漏えいのおそれが発覚した場合に、さらなる漏えいの発生を防止するための措置*19をとる体制を整えておく必要がある。さらなる漏えいの発生を防止する措置として、例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられる(Q&A12−2)ところ、このような手法をマニュアル化することも検討すべきだろう。
②事実関係の調査および原因の究明
漏えい等事案の事実関係の調査および原因の究明に必要な措置を講ずるものとされている。
例えば、第三者委員会を設置するとか、フォレンジック技術を利用する等が考えられる*20。ただし、事実関係の調査の結果漏えい等事案でないことが判明した場合など、原因の究明に必要な措置がないという場合もありうる*21。
③影響範囲の特定
上記②で把握した事実関係による影響の範囲を特定する。
事案の内容によるが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられる(Q&A12−3)。
④再発防止策の検討および実施
上記②の結果を踏まえ、漏えい等事案の再発防止策の検討および実施に必要な措置を速やかに講ずる。
例えば、チェック体制の強化や適切なアクセス権限の設定等が考えられる*22。
⑤影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、または本人が容易に知りうる状態に置く。
「容易に知りうる」の意味は通則編3−4−2−1*2と同様であり(パブコメNo.34)、本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられる(Q&A12−4)。
例えば、漏えい等事案に係る個人データまたは加工方法等情報について、第三者に閲覧されることなく速やかに回収した場合、高度な暗号化等の秘匿化がされている場合、漏えい等をした事業者以外では特定の個人を識別することができない場合であって本人に被害が生じるおそれがない場合など、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等や公表を省略することも考えられる(Q&A12−5)。
⑥事実関係および再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係および再発防止策等について、速やかに公表する。
公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し控え、専門機関等に相談することも考えられるとされている。また、漏えい等事案の影響を受ける可能性のある本人全てに連絡がついた場合に公表を省略することも考えられる(Q&A12−5)。
4.個人情報保護委員会等への報告
(1)個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係および再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めるべきである。
上記3の対応とは別に、事業者は、漏えい等事案を個人情報保護委員会等に対する報告が求められている(本告示3)*23。
委託先において漏えい等事案が発生した場合であっても、委託元が漏えい等事案に係る個人データまたは加工方法等情報について最終的な責任を有することに変わりはないことから、原則として報告者は委託元となるが、漏えい等事案に係る個人データまたは加工方法等情報の実際の取扱状況を知る委託先が報告の内容を作成したり、委託元および委託先の連名で報告するといったことが妨げられるものではない(Q&A12−9)。
(2)報告を要しない場合
報告を要しない場合として、次の2類型が挙げられている。
ア 実質的に漏えいがない場合
1つ目の類型は実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断される場合である。
このような場合は漏えい等事案に該当するものの、個人情報保護委員会事務局等への報告を要しないとされる*24。
具体的には、以下の場合がある。
・漏えい等事案に係る個人データまたは加工方法等情報について高度な暗号化等の秘匿化がされている場合
「高度な暗号化等の秘匿化がされている」というためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等事案に係る情報について、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されている。
まず、「第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置」としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられる。
次に、「暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されている」といえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報もしくは復号鍵を削除する機能を備えていること、または③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解される(Q&A12−10)。
テンプレート保護技術を施した個人識別符号については、高度な暗号化等の秘匿化(Q&A12−10参照)がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実を直ちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータを直ちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」に該当し、個人情報保護委員会等への報告は不要と考えられる。
なお、いずれの場合も、上記3⑤の本人への連絡等ならびに事実関係および再発防止策等の公表については、事案に応じて必要な措置を講ずることとされている(Q&A12−11)。
・漏えい等事案に係る個人データまたは加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
第三者に閲覧されないうちに全てを回収した場合、実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断され、また、実質的な被害がなく、その意味で漏えい等事案に係る影響度合いが限定的であると考えられることから、個人情報保護委員会等への報告を要しないものとしている*25。
この例外に該当するかどうかは、回収までに要した時間等の事情を勘案して個別の事例ごとに判断することとなるが、例えば、誤ってウェブサイトに掲載され、誰もが閲覧可能な状態に置かれたものの、掲載を停止するまでの間に誰にも閲覧されていないことがアクセスログから明らかである場合*26や、紙データを未開封のまま全て回収した場合*27等が考えられる。
・漏えい等事案に係る個人データまたは加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データまたは加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く)
当該個人情報取扱事業者にとって個人データであれば、上記の通り原則として本告示による対応が必要であるが、第三者にとって個人情報ではない場合は原則として対応は不要とされる。
ただし、「漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報」についてはなお原則通り報告が必要と解されているところ、例えば、携帯電話番号のようにそれが利用された場合に本人が見ず知らずの者から不測の接触を受けるなど、その情報のみで本人に被害が生じるおそれのある情報が該当すると考えられる*28。
・個人データまたは加工方法等情報の滅失または毀損にとどまり、第三者が漏えい等事案に係る個人データまたは加工方法等情報を閲覧することが合理的に予測できない場合
個人データ等が漏えいしていないと合理的に考えられる場合に限定される*29。社内で誤って廃棄または削除した場合には、「滅失又は毀損にととどまり、第三者が漏えい等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合」に該当するものと考えられる*30。
イ 誤送信・誤配等
2つ目の類型は、FAXもしくはメールの誤送信、または荷物の誤配等のうち軽微なものである。「FAX若しくはメールの誤送信、又は荷物の誤配」は例示であり、これ以外にも、この例外に該当するケースがありうるが*31、軽微であれば何でもよいのではない。「FAX若しくはメールの誤送信、又は荷物の誤配等」という文言から導くことのできる範囲に限られる*32。
この例外に該当する場合として、以下のようなものがある。
・FAXもしくはメールの誤送信、または荷物の誤配等のうち、宛名および送信者名以外に個人データまたは加工方法等情報が含まれていない場合
ここでいう「荷物の誤配」には、郵便の誤配が含まれる*33。なお、宛名および送信者名以外に個人データまたは加工方法等情報を含むメールの誤送信等において、宛名および送信者名以外の情報について高度な暗号化等の秘匿化がされていることによって、実質的に第三者が宛名および送信者名以外の情報を閲覧することができない場合も、この例外に該当するものと考えられる*34。
・取引先に荷物を送付するにあたり、誤って宛名票を二重に貼付してしまい、本来の送付先とは無関係の第三者の宛名情報が漏えいした場合
この場合も、誤って貼付した宛名票において、宛先および送信者名以外に個人データまたは加工方法等情報が含まれていないのであれば、「FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当すると考えられる(Q&A12−12)。
③報告を要しない場合に該当しない場合
・事実関係の調査を完了し、再発防止策を決定している場合
事実関係調査を完了し、再発防止策まで決定したことにより、個人情報漏えいによる影響がなくなったと判断される場合であっても、報告不要の例外には該当しないことには留意が必要である*35。
・影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知りうる状態に置くことを含む)
同様に、影響を受ける可能性のある本人全てに連絡した場合であっても、報告不要の例外にはあたらない点にも留意が必要である*36。
5.まとめ
以上が個人情報漏えい事故が発生した場合の対応であるが、漏えい事故が発生してからあわてて対応策を検討しても遅い。漏えい事故の可能性を最小限にとどめ、万が一このような事態が発生してしても、法令に従った適切な対応ができるような体制をあらかじめ構築しておく必要があるだろう。
さて、本連載第8回では「金融分野における個人情報保護に関するガイドライン(案)」について解説したが、これに関連して、平成29年2月28日には「金融分野における個人情報保護に関するガイドライン」が公表され、パブリックコメント結果も公表されたところである。個人情報保護法の実務をめぐる状況は目まぐるしく変化している。
今後も、本年5月30日の本格施行に向けてのこうした最新動向を踏まえた実務解説を連載していくので、ご期待いただきたい。
*1:漏えい事案に関する統計として、JNSA「2014年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」(http://www.jnsa.org/result/incident/data/2014incident_survey_ver1.1.pdf)、同「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」(http://www.jnsa.org/result/incident/)がある。
*2:「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(http://www.ppc.go.jp/files/pdf/kojouhouQA.pdf)
*3:事業者における特定個人情報の漏えい事案等が発生した場合の対応について (平成27年特定個人情報保護委員会告示第2号)(http://www.ppc.go.jp/files/pdf/271225_jigyousya_roueitaiou.pdf)。なお、漏えい事案のうち、重大な事態に関しては、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)(http://www.ppc.go.jp/files/pdf/271225_houkoku_kisoku.pdf)が適用される。
*4:なお、平成29年3月23日までの間「『事業者における特定個人情報の漏えい事案等が発生した場合の対応についての一部を改正する件(告示案)』に関する意見募集について」についてのパブリックコメントが実施されており、その後マイナンバーについての漏えいに関する告示が改正される予定である(https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000035&Mode=0)。
*5:パブコメNo.8「個人情報データベース等の一部を構成しない個人情報の漏えい、滅失又は毀損は、本告示が対象とする事案には含まれません」、パブコメNo.15「本告示において対象とする事案は、御理解のとおり、要配慮個人情報についても、個人データに該当する要配慮個人情報のみとなります」
*6:パブコメNo.53「漏えい、滅失若しくは毀損又はこれらのおそれに係る情報が個人データ又は加工方法等情報に該当するか否かは、当該情報を保有していた個人情報取扱事業者を基準として判断されます」
*7:パブコメNo.59「FAX、メール、荷物等の宛先欄又は送付元欄に記載された情報は、それが個人情報データベース等を構成する情報から出力されたものであれば、個人データに該当するものと考えられます」
*8:パブコメNo.67
*9:パブコメNo.4「個人情報取扱事業者が意図せず第三者にアクセスされた場合と異なり、個人情報取扱事業者が売却などにより自らの意図に基づき個人データを第三者に提供する場合には『漏えい』には該当しないものと考えられます」、パブコメNo.21「いずれの場合も、個人情報取扱事業者が、その意図に基づいて個人データ等を外部に送信する場合のことであり、漏えい等事案には該当しないものと考えられます」
*10:パブコメNo.20「『紛失』は、一般的に、『漏えい』または『滅失』のいずれかに該当し、対象の情報が保管されていた状況等の事情を勘案して個別の事例ごとに判断されることとなります」
*11:パブコメNo.9「個別の事例ごとに判断されることとなりますが、一般に漏えい等事案に係る情報が、匿名加工情報の作成に用いた個人情報から削除された記述等及び個人識別符号であり、加工方法等情報と推定し得る場合には、本告示の対象となります」
*12:変更前は「個人情報取扱事業者が保有する匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号(特定個人情報に係るものを除く。)並びに個人情報の保護に関する法律(……)第36条第1項の規定により行った加工の方法に関する情報(……)の漏えい」であった。
*13:パブコメNo.10「散在情報である匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号については,法36条2項においては安全管理措置が必要とされていない以上、本告示の対象とされない」、パブコメNo.11「『年齢のデータを10歳刻みのデータに置き換えた』というような復元につながらない情報(匿名加工情報編ガイドライン3−3−1*参照)が漏えいした場合には本告示の対象とされない」
*14:パブコメNo.13
*15:パブコメNo.7
*16:パブコメNo.14「個人データについて、特定個人情報に比して、取扱いの態様、取り扱われる情報の内容・性質等が多岐に亘り、これに伴い法違反の態様も多様なものが想定されるところ、それらすべてについて告示において個人情報取扱事業者が講じることが望まれる措置及び努めるべき事項を規定することは、軽微な事案を含めて基本的に逐一報告を求める形として告示を定めることとなります。改正後の法においては、これまで個人情報保護法の適用がなかった5,000人分以下の個人情報を取り扱う小規模の事業者も新たに対象となり、全ての事業分野における個人情報取扱事業者が対象となるところ、個人情報取扱事業者に過度の負担を課すこととなり、適切でないと考えます」
*17:「事業者における特定個人情報の漏えい事案等が発生した場合の対応について (平成27年特定個人情報保護委員会告示第2号)」(http://www.ppc.go.jp/files/pdf/271225_jigyousya_roueitaiou.pdf)
*18:パブコメNo.23「漏えい等事案に必要な措置を求める規定がないことから、法以上の対応を求めることは困難であり、『講ずることが望ましい』としています。安全管理措置に違反していると認められる場合には個人情報保護法に基づき適切な監督が行われることとなります」
*19:パブコメNo.27
*20:パブコメNo.28
*21:パブコメNo.29
*22:パブコメNo.31
*23:報告の書式は個人情報保護委員会のホームページに掲載される予定である(Q&A12−6)。
*24:パブコメNo.49
*25:パブコメNo.108
*26:パブコメNo.55、68
*27:パブコメNo.74
*28:パブコメNo.57、93
*29:パブコメNo.70
*30:パブコメNo.73
*31:パブコメNo.86
*32:パブコメNo.94「本告示3.(2)2の見出しから『FAX若しくはメールの誤送信、又は荷物の誤配等のうち』を削除した場合、個人情報保護委員会等への報告を要しない場合が過度に拡大することとなり、適切でないと考えます」
*33:パブコメNo.75
*34:パブコメNo.71
*35:パブコメNo.50「漏えい等事案の社会的な影響の度合い等に照らして個人情報保護委員会等に情報提供するよう努めるべき場合はあり得ますので、御指摘の事由については、報告を要しない場合として規定していません」
*36:パブコメNo.51「漏えい等事案の社会的な影響の度合い等に照らして個人情報保護委員会等に情報提供するよう努めるべき場合はあり得ますので、御指摘の事由については、報告を要しない場合として規定していません」