個人情報の漏えいは当局に報告すべき？

２０２２年４月１日から「改正個人情報保護法」がスタートします。

改正個人情報保護法では、
「漏えい事案等に対応する体制の整備」として、次の内容が新設されることになります。

個人データの漏えい、滅失、き損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態が発生したときは、当該事態が生じた旨を個人情報保護委員会（個人情報保護委員会が報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣）に報告しなければならない。（法２２条の２第１項）

では、どのような場合に、個人情報保護委員会への報告が義務付けされるのでしょうか？

次の４つのケースが該当します。

■報告の対象事態（個人情報保護委員会規則）

１．要配慮個人情報が含まれる個人データの漏えい、滅失、き損（以下「漏えい等」という。）が発生し、または発生したおそれがある事態（個人データの性質に着目した基準）

２．不正に利用されることにより、財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態（個人データの内容（クレジットカード番号、ID・パスワード等）に着目した基準）

３．不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態（漏えい等の態様（従業員による不正な持ち出し、不正アクセス等）に着目した基準）

４．個人データに係る本人の数が１０００人を超える漏えい等が発生し、または発生したおそれがある事態（漏えい等の規模に着目した基準）

さらに、次のとおり、個人情報保護委員会への報告期限が明確化されることになります。

■報告期限

【速報】
対象事案の事態を知った後、概略を速やかに報告
（知った時点から概ね３～５日以内）

【確報】
対象事案の事態を知った日から３０日以内に報告
（上記３．の場合：６０日以内に報告）

また、個人情報保護委員会への報告事案が発生した場合には、本人へ通知することが義務化されることになります。

■本人への通知（法２２条の２第２項、個人情報保護委員会規則）

報告の対象事態を知った後、当該事態の状況に応じて速やかに、本人の権利利益を保護するために必要な範囲において、本人に通知しなければならない。

「お客さまの権利・利益の保護」
「改正個人情報保護法」では、この点がより強化されることになります。

１．漏えい等が発生し、または発生したおそれがある事態が発生した場合は、速やかに上司に報告する。

２．報告を受けた上司は、本部所管部署に速やかに報告する。

３．組織で問題を共有し、組織として問題に対応する。

以上の体制を整備し運用することで、お客さまの権利・利益を保護していきましょう。

福田秀喜（行政書士福田法務事務所）

個人情報保護法|これで解決！成功するためのコンプライアンス経営

【追伸】

この記事の内容は、YouTubeでも紹介しています。