2022年4月1日に個人情報保護法の改正法が全面施行されます。
改正法により、個人情報の漏えいが起きた場合に、個人情報保護護委員会への報告と、本人への通知が義務化されることになりました。
以下では、具体的な義務化の内容について概要をお伝えします。
どんな情報が漏えいした場合に、報告が必要?
情報の漏えいが発生した場合、「個人の権利利益を害するおそれが大きいもの」が報告の対象となります。具体的には、以下のものが該当します。
① 要配慮個人情報が含まれる個人データの漏えい等の発生など
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等の発生など
③ 不正の目的をもって行われたおそれがある個人データの漏えい等の発生など
④ 個人データにかかる本人の数が 1,000人を超える漏えい等の発生など
なお、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものは除かれます。
何を報告する必要がある?
個人情報保護委員会に報告すべき事項は以下のとおりです。このうち、本人への通知項目は、①、②、④、⑤、⑨となります。
① 漏えいの概要
② 漏えいが発生し、または発生したおそれのある個人データの項目
③ 漏えいが発生し、または発生したおそれのある個人データに係る本人の数
④ 漏えいの原因
⑤ 二次被害またはそのおそれの有無およびその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置
⑨ その他参考となる事項
上記のとおり、「情報漏えいの原因」を特定する必要がありますが、そのためには、どの個人情報がどこに保存されているのか、どこでどのように情報が漏えいしたのかを早急に明らかにすることが求められます。
「再発防止のための措置」を盛り込まなければならない点も注目すべきでしょう。
どのように報告すればいい?
報告は、速報と確報の2段階で行うこととされ、具体的な期日と内容は以下のとおりです。
なお、原則として、電子情報処理の方法による報告が必要となります。
- 速報:報告対象事態を知った時から 5日以内に、その時点で把握している事項を報告
- 確報:事態を知った日から 30日 (不正目的によるおそれがある場合は60日) 以内に、報告すべきすべての事項を報告
おわりに
これまで努力義務とされていた、「個人情報漏えい時の報告」が義務化されたことで、企業は、漏えい時にどのように対応するか、社内の体制を改めて見直す必要があります。まずは漏えいを未然に防ぐことが大切ですが、万一の場合に備えて準備を怠らないようにしましょう。
コメント