改正個人情報保護法による報告義務の法定化
2022年4月施行の改正個人情報保護法により、一定の個人データ漏洩等が発生した場合の個人情報保護委員会(PPC)への報告と本人への通知が法律上の義務となりました(個人情報保護法26条)。
改正前は、ガイドラインに基づく任意の対応に留まっていましたが、改正後は違反した場合に是正勧告・命令の対象となります。
報告義務の対象となる4類型(個人情報保護法26条1項)
すべての漏洩等が報告義務の対象ではなく、以下の4類型に限定されています。
| 類型 | 内容 | 例 |
|---|---|---|
| 要配慮個人情報の漏洩 | 病歴・障害・犯罪歴等の特別な配慮が必要な情報 | 患者情報・採用面接記録の漏洩 |
| 財産的被害のおそれ | 不正利用により財産的被害が生じるおそれがある | クレジットカード番号・口座情報の漏洩 |
| 不正の目的のおそれ | 不正の目的によりアクセスされたおそれがある | 不正アクセスによる情報取得 |
| 1,000件超の漏洩 | 1,000人を超える個人データが漏洩した | 大規模データベースの流出 |
いずれか1つでも該当すれば報告義務が発生します。
報告・通知の期限
PPCへの報告
| 報告種別 | 期限 | 記載内容 |
|---|---|---|
| 速報 | 知った時から速やかに(概ね3〜5日以内) | 概要・発生日時・対応状況等 |
| 確報 | 知った時から30日以内(不正アクセスの場合は60日以内) | 詳細な調査結果・再発防止策 |
本人への通知
漏洩した本人に対しても、「速やかに」通知する必要があります(個人情報保護法26条2項)。通知内容は法定されており(規則7条)、概要・発生日時・漏洩した情報の種類・問い合わせ先等を伝えます。
本人への通知が困難な場合(本人の連絡先不明等)は、その事実を公表する等の代替措置が認められます。
初動対応のステップ
Step 1: 事実確認と封じ込め(発生直後)
- 漏洩した情報の種類・件数・経路を把握する
- 追加漏洩を防ぐための緊急措置(アクセス遮断、システム停止等)を実施する
- ログ等の証拠を保全する
Step 2: 社内報告ライン(発生から数時間以内)
- 担当者 → 情報セキュリティ責任者 → 経営層への報告
- 個人情報保護管理者・法務・広報の巻き込み
- 外部弁護士・セキュリティ専門家への連絡
Step 3: PPCへの速報(知った時から概ね3〜5日以内)
PPC(個人情報保護委員会)の電子申請システムから速報を提出します。報告書には以下を含めます。 - 漏洩の概要・発生日時・発覚日時 - 漏洩した個人データの種類・件数 - 原因・経緯 - 現在の対応状況
Step 4: 本人通知(速やかに)
通知媒体: メール、書面郵送、ウェブサイト掲示(特定多数の場合)
Step 5: 確報の提出(30日または60日以内)
調査が完了した後、確報を提出します。再発防止策を具体的に記載します。
公表・広報対応
大規模な漏洩の場合、プレスリリースによる公表も検討します。隠蔽は二次的な信頼失墜につながるため、適時・適切な情報開示が重要です。
まとめ
改正個人情報保護法により、データ漏洩対応は法的義務になりました。速報は「3〜5日以内」という短い期限があるため、社内の報告ライン・対応手順をあらかじめ整備し、インシデント対応計画(IRP)を策定しておくことが重要です。