「個人情報が漏えいしてしまった際に行うべき対応って何？報告は必須？」

このような疑問をお持ちの企業担当者様、いらっしゃるのではないでしょうか。

個人情報の漏えいは、いくら気を付けていても、起こってしまうことがあります。実際に2023年には、誤交付や誤送付などのいわゆるヒューマンエラーによる漏えい事案が増加し、その発生件数は過去最多となりました。

実際に自社で個人情報が漏えいしてしまった場合、企業担当者は速やかに報告しなければなりません。

なぜなら、事業者が取り扱う個人情報が漏えいした場合、法律やガイドラインに基づき、個人情報保護委員会や所轄官庁に報告する義務があるからです。

ここでは、個人情報の漏えい発覚後の報告方法や、そもそも個人情報漏えいとはどのようなものが該当となるのかなどを解説していきます。

この記事を読み終えれば、いきなり発覚した個人情報の漏えいに対しても、即対応できるようになるでしょう。

1.個人情報の漏えい発覚後に報告・通知することは義務

令和4年4月から、個人情報の漏えいの報告が義務化されました。

個人情報の漏えいが発覚し、報告する際には「速報（新規報告）」と「確報（続報）」の2段階で報告することが義務付けられています。

本人への通知や、通知が困難な場合の公表には、コストとリスクが生じます。

しかし、報告対象の事態が生じたときは、ほとんどの場合に本人通知もしくは公表、またはその両方を行わなければなりません。

例えば、従業員の健康診断等の結果を含む個人データが漏えいしてしまった場合も、報告・通知しなければなりません。

このように、情報漏えいが発覚した際には、報告対象事態に該当するかをきちんと検討し、速やかに対処する必要があるのです。

（1） 速報が必要な場合

個人情報の漏えいが発覚した際には「速報」として発覚日から概ね3～5日以内に審査機関に報告をする必要があります。

早期に状況を把握し、被害拡大を防ぎ、関係機関への連絡や対策の開始を促すために行い、漏えいの概要（日時、内容、影響範囲など）を速やかに報告します。

（2） 確報が必要な場合

漏えいに関する詳細な情報を把握し、再発防止策を練るために行います。

確報は、漏えいが発覚した日から原則30日以内（不正の目的によるおそれがある漏えい等が発生した場合には、60日以内）に行わなければなりません。

また、速報で報告した内容を詳細に調査し、以下の事項について報告します。

• 漏えいの原因の詳細な分析結果
• 影響を受けた人の具体的な人数
• 再発防止策の詳細な内容（実施時期、担当者など）
• 漏えい事案に関する調査報告書
• その他、必要な事項（損害賠償請求に関する情報など）

このように、コストとリスクが生じる恐れがあっても、組織が起こしてしまった問題に対して、本人への通知もしくは公表、またはその両方を行わなければならないのです。

2. 個人情報の漏えいが該当する5つの事案とは

1章では、個人情報の漏えい発覚後に行うべき「速報」や「確報」についてまとめました。

では、そもそも個人情報の漏えいに該当する報告対象事態とは何なのか、確認していきましょう。

（1） 個人情報の漏えいが該当するもの

個人情報漏えいとは、以下に該当するものを指します。

1. 要配慮個人情報が含まれる事故等
2. 不正に利用されることにより財産的被害が生じるおそれがある事故等
3. 不正の目的をもって行われたおそれがある事故等
4. 個人情報に係る本人の数が1,000人を超える事故等
5. その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態

※いずれも事故等が発生したおそれがある事態も含める
引用サイト：たいせつにしますプライバシー　プライバシーマーク制度

では、具体的な個人情報漏えいの内容はどのようなものが当てはまるでしょうか。

（2） 要配慮個人情報が含まれる場合

要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他政令で定めるものを指します。

例えば、病院における患者の診療情報や調剤情報を含む個人データや、従業員の健康診断等の結果を含むデータ等が当てはまります。

これらの情報が漏えいした場合、個人が差別や偏見の対象となる可能性が高まり、深刻な人権侵害につながる恐れがあります。

（3） 財産的被害が生じるおそれがある場合

不正に利用されることにより財産的被害が生じるおそれがある個人データや保有個人情報の漏えい等を指します。

例えば、ECサイトからクレジットカード番号を含む個人データや、送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合などが当てはまります。

これらの情報が漏えいした場合、不正利用されることで経済的な損害が発生するおそれがあります。

（4） 不正の目的をもって行われた漏えい等が発生した場合

不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データや保有個人情報を指します。

例えば、不正アクセスにより個人情報が漏えいした場合や、ランサムウェアなどにより個人データが暗号化され、復元できなくなった場合などが該当します。

故意のデータ持ち出しや、フィッシング詐欺なども当てはまります。

（5）1000人を超える漏えい等が発生した場合

1000人を超える漏えいは、社会的な影響が大きく、被害が拡大する可能性が高いため、報告が義務付けられています。

例えば、システムの設定ミスなどによりインターネット上で個人データの閲覧が可能な状態となってしまい、当該個人データに係る本人の数が1,000人を超える場合などが当てはまります。

デジタル社会だからこそあり得る、誤送信などもこれに当てはまります。

（6）その他報告が必要な情報漏えい

付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態も漏えい等に該当します。

これらの漏えいが発覚した場合、直ちに報告をしなければなりません。

参考サイト：PPC 個人情報保護委員会

3.漏えい等の報告先は個人情報保護委員会

個人情報漏えい等の報告先は、主に個人情報保護委員会です。

また、Pマーク（プライバシーマーク）を取得している企業は、JIPDEC（一般財団法人日本情報経済社会推進協会） または認定機関に対しても報告が必要です。

報告時は、各認定機関HPをご確認ください。

引用サイト：PPC 個人情報保護委員会

4. 速報が必要な事故等

前述でも述べた通り、いずれかの個人情報漏えい等に該当する事故等が発生した場合には、「速報」として発覚日から3～5日以内に審査機関に事故報告を行う必要があります。

さらに、事故等の対象となった個人情報に特定個人情報（マイナンバー）が含まれており、次の事故等に該当する場合は、「速報」として審査機関に報告をしなければなりません。

1. 情報提供ネットワークシステム等からの漏えい、滅失、き損
2. 不特定多数の者に閲覧された
3. 不正の目的による漏えい、滅失、き損
4. 100人を超える場合

引用サイト：たいせつにしますプライバシー　プライバシーマーク制度

5.本人への通知をする必要がある場合

個人情報の漏えい等が発覚した際、本人への通知が必要な場合もあります。

その際には、当該事態の状況に応じて速やかに、概要、個人データの項目、原因などの内容を本人にとって分かりやすい方法で行わなければなりません。

例えば、文書の郵送や電子メールの送信など、詳細が記載できるようなもので通知すると良いでしょう。

もし、本人への通知が困難な場合は、ホームページでの公表や、問い合わせ窓口の設置などで報告する代替措置を講ずることも可能です。

6.まとめ

いかがでしたか？

個人情報の漏えいが発覚した際には、速やかに報告・通知をすることが義務づけられていることが理解できたでしょうか。

また本稿では、個人情報の漏えいが以下の5点に該当することであると解説しました。

1. 要配慮個人情報が含まれる事故等
2. 不正に利用されることにより財産的被害が生じるおそれがある事故等
3. 不正の目的をもって行われたおそれがある事故等
4. 個人情報に係る本人の数が1,000人を超える事故等
5. その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態

さらに、本稿を読んで、その個人情報漏えいが発覚してから「速報」と「確報」を報告する必要があることが分かったのではないでしょうか。

ぜひ、具体的な個人情報漏えいの例を参考に、組織内で情報漏えいが防げるように、役立ててください。