個人情報の保護に関する法律等の一部を改正する法律について

2021/11/28 ブログ
logo

2022年4月1日に「個人情報の保護に関する法律等の一部を改正する法律」が施行しまうので、変化点について、ガイドを参考に記事を書いてみました。

漏えい等報告等の義務化

●漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告及び本 人への通知を義務化する。

 

現行

改正後

個人情報保護委員会に報告及び本人通知 するよう努める(委員会告示)

漏えい等が発生し、個人の権利利益を害するおそ れが大きい場合に、個人情報保護委員会への報 告及び本人への通知を義務化する(§22-2)

◆漏えい等報告の義務化の対象事案 (委員会規則で定める要件)

  1. 要配慮個人情報の漏えい等
  2. 財産的被害のおそれがある漏えい等
  3. 不正の目的によるおそれがある漏えい等
  4. 1,000件を超える漏えい等

1-3は件数に関わりなく対象

※各類型につき、漏えい等の「おそれ」がある事案も対象。

◆漏えい等報告はどのような事案で行う必要がありますか?

類型

報告を要する事例

要配慮個人情報の漏えい等

従業員の健康診断等の結果を含む個人データが漏えいした場合

財産的被害のおそれがある漏えい等

送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

不正の目的によるおそれがある漏えい等

不正アクセスにより個人データが漏えいした場合

1,000件を超える漏えい等

システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合

◆漏えい等報告について、報告の期限はどのようになっていますか?

 

時間的制限

報告内容

速報

報告対象の事態を知って「速やかに」(個別の事案によるものの、当該事態を知った時点から概ね3~5日以内)

報告をしようとする時点において把握している内容

確報

報告対象の事態を知ってから30日以内(不正の目的によるおそれがある漏えい等の場合は60日以内)

全ての報告事項(合理的努力を尽くしても、全ての事項を報告できない場合は、判明次第、報告を追完)

◆「当該事態の状況に応じて速やかに」本人への通知を行うとは、具体的にどのようなことをいいますか?

速やかに通知を行うことを求めるものですが、具体的に通知を行う時点は、個別の事案において、その時点で 把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うこと で生じる弊害等を勘案して判断します。 【その時点で通知を行う必要があるとはいえないと考えられる事例(※)】

 

●漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本 人が必要な措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合 (※)「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはない。

◆本人への通知はどのような事案で行う必要がありますか?

漏えい等報告の義務化されている事案では、本人に対する通知を行う必要があります。 ただし、本人への通知が困難である場合には、代替措置を講ずることによる対応が認められます。

 

考えられる具体例

通知が困難

●保有する個人データの中に本人の連絡先が含まれていない

●連絡先が古いために通知を行う時点で本人へ連絡ができない

代替措置

●事案の公表

●問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにする