危機管理INSIGHTS Vol.7:個人情報保護法改正を踏まえたセキュリティ事案における初動対応の勘所
1. はじめに
近年、ECサイトや各種スマートフォン向けアプリを運営する会社に対して不正アクセスがなされ、個人情報が漏えいする事案が頻発しています。
個人情報保護法の令和2年改正により、漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告および本人への通知を義務化することになりました。
2022年4月1日に個人情報保護法の令和2年改正・令和3年改正が同時施行されることになりますが(以下、同日付けで施行される個人情報保護法および個人情報保護法施行規則をそれぞれ、「改正個人情報保護法」、「改正個人情報保護法施行規則」といいます。)、漏えい等の報告・本人への通知の義務化に関する部分も同日より施行されます。
そのため、同日以降、個人情報の漏えい等が発生した場合には、改正個人情報保護法の新しいルールに従って対応する必要があり、特に「初動対応」を一層迅速かつ適切に行うことが必要となります。
そこで、本稿では、個人情報の漏えい等の報告・本人への通知の義務化を踏まえたセキュリティ事案における初動対応の勘所を解説します。
2. 個人情報保護法の令和2年改正の概要
個人情報保護法の令和2年改正の概要については、下記の表に全体像がまとまっています。本稿で取り上げる漏えい等の報告・本人通知の義務化については、2の「事業者も守るべき責務の在り方」の欄に記載があります。
3. 漏えい等の報告の概要
個人情報保護委員会への漏えい等の報告の義務化については、改正個人情報保護法26条1項において、以下のとおり定められています。
■改正個人情報保護法
26条(漏えい等の報告等)
1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りではない。
漏えい等の報告に関し、事業者は、特に以下のポイントを押さえておく必要があります。
(1)個人情報保護委員会への報告義務が生じるケース
改正個人情報保護法26条1項本文では、事業者が「取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じた」場合には、個人情報保護委員会への報告義務が生じると定められています。
「取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態」という部分については、単に「漏えい」の事案のみならず、「滅失、毀損その他個人データの安全の確保に係る事態」であっても、報告義務が生じるという点に注意が必要です。
「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じた」という部分については、改正個人情報保護法施行規則7条において、4つのケースが定められています。
① 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい、滅失若しくは毀損(「漏えい等」)が発生し、または発生したおそれがある事態
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
④ 個人データに係る本人の数が千人を超える漏えい等が発生し、または発生したおそれがある事態
①から④全てに関し、実際に「漏えい等」が発生した場合のみならず、「発生したおそれがある事態」であっても、報告義務が生じるという点に注意が必要です。
また、上記①から③については、要件を満たす場合にはたとえ漏えい等が1件にとどまるケースであっても報告義務が生じるため、この点はしっかりと押さえておく必要があります。
例えば、「要配慮個人情報」(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報)が含まれる個人データの漏えい等が生じた場合については、たとえ1件の漏えい等であったとしても①に該当し、報告義務が発生するということになります。
また、不正アクセスやマルウェア感染により漏えい等が生じた場合については、たとえ1件の漏えい等であったとしても③に該当し、報告義務が発生することになります。
なお、「要配慮個人情報」は以下のものが該当します。
【改正個人情報保護法2条3項に列挙されたもの】
● 人種
● 信条
● 社会的身分
● 病歴
● 犯罪の経歴
● 犯罪により害を被った事実
【改正個人情報保護法2条3項の「その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等」として個人情報保護法施行令2条各号で列挙されたもの】
● 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保 護委員会規則(個人情報保護法施行規則5条各号)で定める心身の機能の障害があること
・身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害
・知的障害者福祉法(昭和35年法律第37号)にいう知的障害
・精神保健および精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第2条第1項に規定する発達障害を含み、知的障害福祉法にいう知的障害を除く。)
・治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活および社会生活を総合的に支援するための法律(平成17年法律第123号)第4条第1項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの
● 本人に対して医師その他医療に関連する職務に従事する者(「医師等」)により行われた疾病の予防および早期発見のための健康診断その他の検査(「健康診断等」)の結果
● 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと
● 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
● 本人を少年法3条1項に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
個人情報保護委員会への報告義務の有無を検討する際には、これらの要件を充足するか否かを可及的速やかに検討・判断することが求められます。
(2)個人情報保護委員会への報告事項
上記(1)の要件を検討した結果、個人情報保護委員会に報告を要すると判断した場合、次のステップとして個人情報保護委員会への報告事項を検討することになります。
改正個人情報保護法施行規則8条1項各号において、以下の内容が報告事項として列挙されています。
・概要
・漏えい等が発生し、または発生したおそれがある個人データの項目
・漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
・原因
・二次被害またはそのおそれの有無およびその内容
・本人への対応の実施状況
・公表の実施状況
・再発防止のための措置
・その他参考となる事項
(3)個人情報保護委員会への報告時期
個人情報保護委員会への漏えい等の報告については、「速報」と「確報」の2種類があるとされています。
速報については、「事態を知った後、速やかに」行う必要があります(改正公益通報者保護法施行規則8条1項柱書)。速報の内容は、「報告をしようとする時点において把握しているものに限る」と明記されていますので、報告までにできる限り情報を集め、上記(2)記載の報告事項のうち、報告時点で把握しているものを可能な限りまとめて報告するという実務が想定されます。
確報については、漏えい等の事態を知った日から30日以内(「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態」の場合には60日以内)に、上記(2)記載の報告事項を報告する必要があります(改正公益通報者保護法施行規則8条2項)。確報については、「報告をしようとする時点において把握しているものに限る」という記載がないため、期間内に上記(2)記載の報告事項を網羅的に調査することが必要となります。
(4)個人情報保護委員会への報告方法
個人情報保護委員会への漏えい等の報告の方法については、速報・確報とも、電子情報処理組織を使用する方法(個人情報保護委員会のウェブサイト上での報告)が原則とされており、電子通信回線の故障、災害その他の理由により電子情報処理組織の使用が困難な場合には、報告書を提出する方法をとることが定められています(改正個人情報保護法施行規則8条3項1号)。
4. 本人通知の義務化
改正個人情報保護法26条第2項では、漏えい等が発生した場合には、上記3に記載した個人情報保護委員会への報告に加えて、本人への通知も義務付けられています。
■改正個人情報保護法
第26条(漏えい等の報告等)
1 (略)
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規程による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれらに代わるべき措置をとるときは、この限りではない。
本人への通知が義務付けられるケースは上記3(1)と同様ですが、「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれらに代わるべき措置をとるとき」(例えば、会社のウェブサイトでの事案の公表等)には、本人への個別の通知は不要とされています。
本人への通知事項については、改正個人情報保護法施行規則10条において以下の内容が列挙されています。
・概要
・漏えい等が発生し、または発生したおそれがある個人データの項目
・原因
・二次被害またはそのおそれの有無およびその内容
・その他参考となる事項
5. 個人情報の漏えい等の疑いのある事案における初動対応の勘所
(1)事案の迅速な把握
まず、セキュリティ事案の初動対応として最も重要な事項の1つが、事案の迅速な把握です。
2022年4月1日に施行予定の「個人情報の保護に関する法律についてのガイドライン(通則編)」には、漏えい等事案が発覚した場合に講ずべき措置として、以下の5項目が掲げられています。なお、①~④については、従前から「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」にて示されてきた措置と同じ内容になっています。
① 事業者内部における報告および被害の拡大防止
② 事実関係の調査および原因の究明
③ 影響範囲の特定
④ 再発防止策の検討および実施
⑤ 個人情報保護委員会への報告および本人への通知
この中で、特に重要なのは「事実関係の調査」です。原因の究明も、得られた事実に基づいて行うものですし、影響範囲についてもログ等の事実から特定するほか、事実に基づいて特定された原因から推認していくことで特定するものですので、事実関係の把握がその後の全ての対応の起点となります。
事実関係の調査の在り方は、漏えい等の発生が発覚した端緒によって大きく異なります。サプライチェーンの一部(委託先や利用しているソフトウェア等)において漏えい等が発生したとの報に接したことで、当該事象を介した漏えい等の事実を知ったような場合には、テクニカルな原因はある程度明確であることも多く、また、どの程度の個人情報を当該委託先に取り扱わせていたか、ソフトウェアに処理させていたかという観点で、影響範囲を初期的に限定できることもあろうかと思われます。
一方で、自社から漏えい等したと思われる情報を第三者が保有していた、ダークウェブ上にアップロードされて閲覧可能になっていることが分かったといったことを端緒として漏えい等の発生を認識した場合には、どのような原因に基づき、どのような機序で漏えい等が生じたかを特定することは著しく困難となります。そのような場合には、個人情報の取扱いに関する詳細なログが保存されていないか、フォレンジック調査等による解析で特定ができないかといった事項を検討していくことになります。
なお、被害拡大防止のための措置によって事実関係の調査のための情報を喪失しないよう、保全の観点を持つことは重要です。例えば、マルウェアの感染が疑われる端末があった場合には、被害拡大防止のために当該端末をネットワークから遮断することが重要ですが、端末そのものの電源を落とすといった方法を採ると失われる情報があります。ましてや、マルウェアの排除を目的として拙速に端末の初期化を行った場合、通信ログ等を含めたあらゆる情報を喪失し、漏えい等を生じた範囲を特定する機会を失うことにもなりかねません。
とはいえ、緊急に被害拡大を防止するために迅速な判断を下すべき状況ですので、備えがない状態では正しい判断も難しいかと思います。専門家に即時のアドバイスを得られない状況もあろうかと思いますので、少なくとも初動対応時の情報の保全については、専門家の助言の下、マニュアルを用意して予行演習を行うなど、平時の備えを行っていただければと思います。
(2)To Doリストの作成と優先事項の検討
事案の把握と並行して、会社として対応しなければならない事項をTo Doリストのような形で網羅的に列挙しておくことが重要です。
抜け漏れのないTo Doリストを整理し、優先度の高いものから順次対応する道筋をつけるということは企業不祥事対応全般で重要なことですが、類型的に緊急対応が必要となることが多いセキュリティ事案においては、とりわけ重要性は高いと考えられます。
これは「言うは易く行うは難し」であり、いざ具体的な事案が発生した場合には、義務の有無や要対応事項の具体的内容に関する様々な疑問が生じることが少なくありません。
初期段階では漏えい等の原因や影響範囲について明確な情報を有していないことが多く、保有している情報についても精査できていないことが通常です。
もっとも、改正法の下では、情報が完全にそろうまで本人の通知や個人情報保護委員会への第一報を遅らせることはできません(上記のとおり、改正個人情報保護法施行規則8条1項柱書では「漏えい等の事態を知った後、速やかに」報告および通知を行うべき旨を定めています。)。
そのため、実務的には当該事案において考え得る「おそれ」の範囲を不合理に限定することなく、現時点で把握できている事実関係から想定できるワーストケースシナリオを検討し、漏えい等が生じた可能性がある情報の属性(要配慮個人情報か、財産的損害を生じるおそれがあるか)、不正な目的を持つ第三者が取得した可能性、二次被害や被害拡大の可能性など、あらゆるリスクを検討することが必要となります。
そして、限られた人的・物的リソースの中では、リスクベース、すなわち高リスクな要素や蓋然性の高い要素に着目して優先事項を決定していくことが必要となります。
この点に関し、2022年4月1日に施行予定の「『個人情報の保護に関する法律についてのガイドライン』 に関するQ&A」(2021年9月10日更新)33頁~40頁には、漏えい等の事案に関する実務的なQ&Aが記載されており、参考になります。
参考リンク:「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(2021年9月10日更新)
(3)スケジュールの策定とタスクの実行
To Doリストを作成し、優先順位を付けることにより、調査・対応等のスケジュールを策定することが可能となります。
スケジュールの策定に際しては、セキュリティ事案においては時間の経過に応じて、対処すべきタスクが変わっていくことを意識する必要があります。
すなわち、セキュリティ事案の初期段階では限定的な情報しか判明しておらず、調査の中で新たな事実(被害範囲の拡大、二次被害の発覚等)が発見されることも少なくなく、新事実を踏まえて要対応事項の追加・変更が必要となることもあります。また、フォレンジック調査やログの解析といった事実調査には相当の時間を要することもあります。
そのため、どのような情報をすでに得ているか、今後どのような情報をいつ得ることができるかを把握した上でスケジュールを策定し、必要に応じて柔軟に軌道修正をしながら着実に最終的な事案の解決(確報、再発防止策の実行等)に向けて必要なタスクを実行していくという難易度の高いハンドリングが求められます。
6. おわりに
改正個人情報保護法の施行により、個人情報の漏えい等のセキュリティ事案のプラクティスに変化が生じ、これまで以上に迅速かつ適切な対応が求められることが想定されます。
セキュリティ事案を乗り切るために必要な初動対応である、事実調査、要対応事項のリストアップと優先順位付け、スケジュールの策定、及びタスクの実行を短期間で的確に完遂することは容易ではありませんので、専門家のサポートを受けながら進めるのが安全です。
当事務所においては、個人情報保護法制やIT・セキュリティ分野の専門的知見を有する弁護士やコンプライアンス・危機管理プラクティスグループに所属する弁護士を中心に、これまでも個人情報の漏えい等に関する事案を数多く取り扱ってきましたが、今後より一層個人情報・セキュリティの分野に注力してまいります。
noteでの情報発信も引き続き積極的に行いますので、少しでも読者の皆さまのお役に立てますと幸いです。
Author
弁護士 坂尾 佑平(三浦法律事務所 パートナー)
PROFILE:2012年弁護士登録(第一東京弁護士会所属)、ニューヨーク州弁護士、公認不正検査士(CFE)。
長島・大野・常松法律事務所、Wilmer Cutler Pickering Hale and Dorr 法律事務所(ワシントンD.C.)、三井物産株式会社法務部出向を経て、2021年3月から現職。
危機管理・コンプライアンス、コーポレートガバナンス、ESG/SDGs、倒産・事業再生、紛争解決等を中心に、広く企業法務全般を取り扱う。
弁護士 中島 稔雄(三浦法律事務所 パートナー)
PROFILE:2012年弁護士登録(第一東京弁護士会所属)。
北浜法律事務所での執務並びにルネサスエレクトロニクス株式会社及びルームクリップ株式会社でのインハウス勤務の後、2019年1月から現職。慶應義塾大学イノベーション推進本部 特任講師(非常勤・2019~2021年)。
M&A、セキュリティ・個人情報の取扱い、IT・ウェブサービス等に関連した業務を中心に取り扱う。
この記事が気に入ったらサポートをしてみませんか?