2020年・改正個人情報保護法の概要(情報の「漏えい等」編)
1 はじめに
2020年・改正個人情報保護法について、これまで3回にわたり書いてみました(全体像編、情報の「利用」編、情報の「提供」編)。
4回目となる今回は、情報が「漏えい等」した場面における改正事項について見ていきます。
改正個人情報保護法に関する過去のnoteについては、以下をご覧ください。
2 情報の「漏えい等」の場面の改正事項の概要
以下では、情報の「漏えい等」の場面における従前のルールを簡単に復習した上で、今回の改正で追加された規制を見ていきます。
⑴ 従前のルール
個人データの漏えい等が発生した場合、改正前の個人情報保護法においては法律自体には報告義務や本人通知などの義務は定められていませんでした。
ただし、個人情報保護委員会の「告示」において、個人情報取扱事業者の保有する個人データの漏えい、滅失または毀損などが発生した場合には、被害の拡大防止や本人への通知などの一定の措置を講じることが望ましいとした上で、個人情報保護委員会などへの報告の努力義務を定めていました。
⑵ 今回の改正事項
今回の改正では、法律において次の2点が追加されました。
① 個人情報保護委員会への報告義務
② 本人への通知義務
次に上の①と②について簡単に見ていきます。
3 個人情報保護委員会への報告義務(新設)
「個人情報取扱事業者」は、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれがあるものとして委員会規則で定めるものが生じたときは、個人情報保護委員会への報告をしなければならないものとされました(改正法22条の2第1項本文)。
全ての漏えい等の事案について報告義務があるわけではなく、詳細については委員会規則に委任されています。
この点につき国会答弁では、次のようなケースを想定していると述べられていました。
(漏えい等の件数を考慮しない)
・要配慮個人情報の漏えい
・不正アクセス
・財産的被害のおそれがある場合
(漏えい等の件数を考慮する)
・一定数以上の大規模漏えい
なお、個人データの取扱いの委託先事業者は、委員会規則で定めるところにより、漏えい等が発生したことを委託元の事業者に通知した場合には、委託先事業者自身は個人情報保護委員会への報告義務はないものとされています(改正法22条の2第1項ただし書)。
4 本人への通知義務(新設)
今回の改正によって、個人情報保護委員会への報告義務だけではなく、委員会規則で定めるところにより、漏えい等が発生したことを本人に通知する義務も追加されました(改正法22条の2第2項本文)。
ただし、本人への通知が困難であって、本人の権利利益を保護するために代替措置を講じる場合には、本人通知は必要ないとされています(改正法22条の2第2項本文)。
また、報告義務と同様、個人データの取扱いの委託先事業者は、委員会規則で定めるところにより、漏えい等が発生したことを委託元の事業者に通知した場合には、本人への通知義務はないものとされています(改正法22条の2第2項本文)。
この記事が気に入ったらサポートをしてみませんか?