• 事務所概要
  • 企業の皆様へ
  • 個人の皆様
  • 弁護士費用
  • ご利用方法
  • 所属弁護士

弁護士コラム・論文・エッセイ

弁護士コラム・論文・エッセイ

ホーム弁護士コラム・論文・エッセイ田中弁護士著作 一覧 > 個人情報保護法施行規則の令和6年改正について
イメージ
弁護士 田中 薫

2024年11月13日

個人情報保護法施行規則の令和6年改正について

(丸の内中央法律事務所事務所報No.45, 2024.8.1)

第1 個人情報保護法施行規則の令和6年改正の概要

 個人情報保護法施行規則(以下「施行規則」といいます。)第7条第3号が、令和5年12月27日付で改正、令和6年4月1日付で施行され、同改正に併せて「個人情報保護法ガイドライン(通則編)」1)も改訂されました(以下、便宜的にこれらの改正・改訂を併せて「令和6年改正」といいます。)。

 令和6年改正の概要は以下の通りです。

 ① 漏えい等発生時の報告・通知等の義務が生じる「個人データ」の範囲の拡大
 ② 安全管理措置に関する「個人データ」の範囲が拡大

第2 改正の趣旨

 令和6年改正は、ウェブスキミング2)対策を念頭に置いた改正です3)

 ウェブスキミングによって、ウェブサイトにユーザーが入力しようとした情報が当該ウェブサイトの運営事業者のサーバーを介さず、攻撃者に直接に窃取4)された場合、当該情報は、事業者の取得前の情報ですので、令和6年改正前は「個人データ」には該当しませんでした。そして「個人データ」に該当しないとなると、個人情報保護委員会への報告義務や本人5)への通知義務等は生じず、また、当該情報に対する安全管理措置も不要でした。

 しかし、個人情報取扱事業者に対するウェブスキミング等によって個人情報が流出する(おそれがある)事態は、二次被害が発生するおそれが大きいことから、個人情報保護委員会及び個人情報取扱事業者が適切な対応を行うことが重要であると考えられて令和6年改正に至りました。

第3 個人データと個人情報データベースについて

 令和6年改正は「個人データ」に関する改正であるため、令和6年改正の理解には、個人情報保護法(以下「法」といいます。)が定める「個人データ」の理解が必要であるため、改正点についてご説明する前に「個人データ」のご説明を行います(個人情報については、弊所ホームページにて当職が解説しておりますので、そちらをご参照ください。)。

 「個人データ」への理解が十分であって、改正点だけ把握されたい方は第3を読み飛ばして、第4からお読みください。

1 定 義

(1)「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(法第16条3項)。
(2)「個人情報データベース等」は、以下のいずれかに当てはまる情報の集合物です(法第16条1項)。 

 ① 特定の個人情報をコンピュータを用いて検索できるように体系的に構成されたもの

 ② 個人情報が一定の規則(五十音順、生年月日順等)に従って整理・分類されることで、特定の個人情報を容易に検索することができるように体系的に構成されたものであって、目次・索引等を有するもの6)
2 ポイント

 個人情報データベース等に該当すれば、それに含まれる個人情報は全て個人データとなります。

 例えば、「電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)」7)が個人情報データベース等に該当しますので、そこに含まれている氏名・アドレス等の個人情報は「個人データ」となります。
 このように個人情報データベース等に当たるか否かの判断が重要ですので、どのような場合に個人情報データベース等に当たるかをガイドラインからご紹介します。

3  個人情報データベース等の具体例(ガイドライン16~17頁より引用)

(1)個人情報データベース等に該当する例

 ① 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
 ② インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
 ③ 従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
 ④ 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

(2)個人情報データベース等に該当しない事例 

 ① 従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場
 ② アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
4 政令によって個人情報データベース等から除外されているもの

 政令8)によって、個人の権利利益を害するおそれが少ないものは、個人情報データベース等から除外されています。ガイドライン17頁ではその一例として「市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等」が示されています。

第4 個人データの漏えい等の報告・通知等について

1 個人情報保護委員会への報告・本人への通知義務

 個人情報取扱事業者9)は、以下①~④の事態が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告し、本人に通知等をしなければならないのが原則10)11)12)です(法第26条、同法施行規則第7条参照。)。

 ① 「要配慮個人情報が含まれる個人データ」の漏えい、滅失若しくは毀損等(以下「漏えい等」といいます。)又はそれらのおそれ(施行規則第7条第1号)
 ② 「不正に利用されることにより財産的被害が生じるおそれがある個人データ」の漏えい等又はそれらのおそれ(同条第2号)
 ③ 「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ」の漏えい等又はそれらのおそれ(同条第3号)
 ④ 「個人データに係る本人の数が千人を超える」漏えい等又はそれらのおそれ(同条第4号)
2 令和6年改正による変更点
(1)改正内容
 上記第3でご説明しましたとおり、「個人データ」とは、個人情報データベース等を構成する個人情報ですので、個人情報取扱事業者が取得済みであることが前提とされています。
  しかし、令和6年改正によって、施行規則第7条第3号が改正されましたので上記第4・1・③の「個人データ」に限っては、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」(下線は筆者が付しました以下、本稿独自の呼称ですが「予定個人データ」といいます。)も含まれることになりました。個人データの定義そのものを変更する改正ではなく、あくまで上記第4・1・③の「個人データ」の範囲だけが改正されています(ただし、後述のとおりガイドラインの改訂により、安全管理措置に関する「個人データ」の範囲が事実上変更されています。)。
(2)注意点
 令和6年改正は、ウェブスキミング対策を念頭に行われた改正ですが、ウェブスキミング以外の場面でも適用される場合があります。
  例えば、名刺管理ソフトに取り込むことを予定している名刺が入った鞄が盗難された場合や、集計して個人データ化する予定であった顧客アンケートが盗難された場合は、ウェブスキミングによるものでなくても、名刺やアンケートは予定個人データとなりますので報告・通知の対象となります。13)
3 具体例

 個人情報保護委員会によるガイドラインや、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(以下「Q&A」という。)に報告・通知を要する具体例が挙げられていますので、以下にご紹介します。

(1)報告・通知を要する具体例

 ① 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき14)
 ② 個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき15)
 ③ 第三者が、偽のウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイト又は当該個人情報取扱事業者が送信したメール等に不正に設置又は記載し、本人が、当該リンクをクリックして当該偽のウェブサイトにアクセスし、IDやパスワード等を入力した場合16)
 ④ 個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)に本人が入力したIDやパスワード等を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合17)
 ⑤ 個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき18)

(2)報告・通知を要しない具体例

 ⑥ 本人が、当該個人情報取扱事業者の正規のウェブサイトや当該個人情報取扱事業者が送信したメール等を経由せずに偽のウェブサイトにアクセスし、ID やパスワード等を入力した場合19)

(3)状況によって報告・通知の要否が異なる具体例

 ⑦ 個人データ又は個人情報データベース等へ入力する予定の個人情報を格納しているサーバにおいてマルウェアを検知した場合20)

(4)判断のポイント 

   施行規則第7条第3号の「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ」の漏えい等又はそれらのおそれが認められる場合には、報告・通知の対象となります。
   上記①~⑦の個人情報は、いずれも「個人データ」又は「予定個人データ」であり、行為の性質から「不正の目的」も容易に認められます。
 他方で、「個人情報取扱事業者に対する行為」については、上記①~⑤では認められるのに対して、上記⑥では認められませんので、「個人情報取扱事業者に対する行為」の有無によって報告・通知の要否が分かれます。
   すなわち、上記①②③は、個人情報取扱事業者のウェブサイトやメールを不正に改ざんしたり、不正にリンクを設置する行為が「個人情報取扱事業者に対する行為」となります。上記④は、フィッシングサイトの設置自体は、「個人情報取扱事業者に対する行為」ではないものの、第三者が窃取した情報を用いて「個人データが表示される当該個人情報取扱事業者の正規のウェブサイト」にログインをしたことが、「個人情報取扱事業者に対する行為」に該当します。上記⑤は、返信用封筒の宛先の改ざんは「個人情報取扱事業者に対する行為」に該当します。前述の2⑵「注意点」で述べたとおり、ウェブサイトやインターネットの利用がない場面であっても報告・通知を要する例となります。
   他方で上記⑥は、フィッシングサイトの設置に留まっており、「個人情報取扱事業者に対する行為」が存在しないため、報告・通知の対象ではありません。
   そして、上記⑦は、マルウェアによる攻撃という点で「個人情報取扱事業者に対する行為」は存在しておりますが、マルウェアの検知のみでは漏えい等のおそれがあるとは直ちに判断されず、より具体的な状況(例えば、防御システムによるマルウェアの実行抑制の状況、外部通信の遮断状況等)をもとに漏えい等のおそれが判断されることになります。21)

第5 安全管理措置について

1 安全管理措置(法第23条)の一般的内容

 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(法第23条)。
 安全管理措置には、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置及び外的環境の把握等がありますが、ここでは詳細を割愛します。

2 安全管理措置を知り得る状態に置くこと等

 個人情報取扱事業者は、保有個人データ22)の安全管理のために講じた措置を本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません(法第32条1項4号、施行令第10条1号)。23)

3 令和6年改正による変更点

 安全管理措置の内容について、法令による改正はありませんが、令和6年改正に併せてガイドラインが変更され、個人情報取扱事業者は、個人データのみならず、予定個人データについても安全管理措置を講じる必要が生じます24)
 また、安全管理措置を本人の知り得る状態に置き、又は本人の求めに応じて回答するという点に関しても、ガイドラインが変更され保有個人データのみならず、予定個人データに関する安全管理措置の内容について本人の知り得る状態に置くか、本人の求めによる回答を行う必要が生じます25)

第6 個人情報取扱事業者の対策

令和6年改正によって、個人情報取扱事業者が新たに行うべき対策として以下のようなものが考えられます。

1 安全管理措置の改善

(1)令和6年改正によって、安全管理措置を講ずる際には、新たにウェブスキミングの防止も目的として、本人が個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があります26)

   その他、予定個人データについて、ウェブスキミングによらない窃取も防止するための具体的な措置を講じることや、この措置を具体化するために規程の策定や変更を行うことが必要となります。

(2)安全管理措置の内容については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであると考えられています27)ので、一概には申し上げることはできません。

 もしご不安がございましたらお気軽にご相談ください。

2 プライバシーポリシーの改訂

(1)保有個人データの安全管理措置については、令和6年改正によって、予定個人データに関するものも含めて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません。
  この義務に関して、これまでプライバシーポリシーに当該安全管理措置の内容を記載することで対応していた事業者は、プライバシーポリシーを、予定個人データについての安全管理措置も含めた内容に変更する必要があります。

(2)他方で、本人の求めに応じて遅滞なく安全管理措置の内容を回答する方法で対応していた事業者は、本人の求めがあった場合の回答内容に、予定個人データについての安全管理措置も含める必要が生じます。

3 個人情報保護管理規程の変更と社内周知

 上記の各変更にあわせて、個人情報に関する社内規程の変更や社内への周知も必要となります。
特に、不正目的によって行われたおそれがある個人データの漏えい等のおそれについては、速やかに個人情報保護委員会への報告・本人への通知等を行わなければなりません28)

 そのために、担当部署が迅速に事態を把握し、上記の報告・通知等の義務を果たせるように、社内に向けて十分に周知する必要があります。

第7最後に

 個人情報の保護に関する要請は年々高まる一方であり、個人情報の流出が生じた場合に多額の損害賠償責任を負うケースもございます。
 このようなリスクを回避するためにも、令和6年改正への対応に併せて、社内の個人情報の取り扱いについて見直されてみてはいかがでしょうか。
 お困り事やご不明点等がございましたらお気軽にお問い合わせください。

以上

 お困り事やご不明点等がございましたらお気軽にお問い合わせください。


1)個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28 年11 月(令和5 年12 月一部改正)(以下「ガイドライン」といいます。)

2)Webスキミングとは、ECサイト(Eコマースサイト)上に不正なコードを挿入して、入力された決済情報を窃取する攻撃手法である。...(中略)...Webスキミングの代表的な手法は、ECサイトの管理画面等へ総当たり攻撃を行ってID/PWを推測したり、脆弱性スキャンを行って改ざん可能な脆弱性を把握することから始まる。その後、窃取した情報を元に不正ログインやWebコンテンツを改ざんし、決済画面などにWebスキミング用の不正なコードを挿入。ユーザがECサイトで決済情報を入力すると、攻撃者のサーバへ決済情報が送信される、といったものである。("Webスキミング".https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/37.html. NECソリューションイノベータ株式会社.2024-7-17.)

3)個人情報保護委員会(第253回)議事概要参照。

4)本稿では分かりやすさの観点から、攻撃者による情報の不正取得を「窃取」と表現します。

5)「本人」とは、個人情報によって識別される特定の個人をいいます(法第2条第4項)。

6)個人情報保護法施行令(以下「施行令」という。)第4条第2項参照。

7)ガイドライン16~17頁。

8)施行令第4条第1項参照。

9)「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(法第16条第2項)。ただし、国の機関、地方公共団体、独立行政法人等及び地方独立行政法人は除かれます(同項但書)。

10)当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、個人情報保護委員会への報告は不要です(法第26条第1項但書)。

11)本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、本人への通知は不要です(法第26条第2項但書)。

12)以下、本項では法第26条に基づく個人情報保護委員会への報告、本人への通知等について、単に「報告・通知」といいます。

13)これらの個人情報について、「不正の目的をもって行われたおそれがある」ことも必要ですが、鞄やアンケートが盗難された場合には一般的にこの「おそれ」が認められるものと考えられます。

14)ガイドライン61頁。

15)ガイドライン61頁。

16)Q&A36~37頁(Q6-7②)。なお、本人が入力予定であった当該個人情報について、個人情報データベース等へ入力すること等が予定されていることが必要ですが、ID・パスワードは通常、そのように予定されていると考えられます。

17)Q&A37~38頁(Q6-8)。

18)ガイドライン62頁。

19)Q&A36~37頁(Q6-7①)。

20)Q&A41頁(Q6-17)。

21)Q&A41頁(Q6-17)等を編集して記載。

22)「保有個人データ」とは、①個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、②その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます(法第16条第4項参照)。上記①については、委託を受けて管理しているデータであって開示・訂正等の権限がない場合には「保有個人データ」から除外されます。上記②は存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるものや、違法又は不当な行為を助長し、又は誘発するおそれがあるもの等が挙げられています(施行令第5条)

23)ただし、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除きます(施行令第10条第1号括弧書)。

24)ガイドライン53頁参照

25)ガイドライン122頁を編集して記載。

26)Q&A37頁(Q6-7)を編集して記載。

27)ガイドライン168頁、Q&A80頁(Q10-1)を編集して記載。

28)施行規則第8条・第9条参照。

ページトップ