2024年11月13日
(丸の内中央法律事務所事務所報No.45, 2024.8.1)
個人情報保護法施行規則(以下「施行規則」といいます。)第7条第3号が、令和5年12月27日付で改正、令和6年4月1日付で施行され、同改正に併せて「個人情報保護法ガイドライン(通則編)」1)も改訂されました(以下、便宜的にこれらの改正・改訂を併せて「令和6年改正」といいます。)。
令和6年改正の概要は以下の通りです。
① 漏えい等発生時の報告・通知等の義務が生じる「個人データ」の範囲の拡大
② 安全管理措置に関する「個人データ」の範囲が拡大
令和6年改正は、ウェブスキミング2)対策を念頭に置いた改正です3)。
ウェブスキミングによって、ウェブサイトにユーザーが入力しようとした情報が当該ウェブサイトの運営事業者のサーバーを介さず、攻撃者に直接に窃取4)された場合、当該情報は、事業者の取得前の情報ですので、令和6年改正前は「個人データ」には該当しませんでした。そして「個人データ」に該当しないとなると、個人情報保護委員会への報告義務や本人5)への通知義務等は生じず、また、当該情報に対する安全管理措置も不要でした。
しかし、個人情報取扱事業者に対するウェブスキミング等によって個人情報が流出する(おそれがある)事態は、二次被害が発生するおそれが大きいことから、個人情報保護委員会及び個人情報取扱事業者が適切な対応を行うことが重要であると考えられて令和6年改正に至りました。
令和6年改正は「個人データ」に関する改正であるため、令和6年改正の理解には、個人情報保護法(以下「法」といいます。)が定める「個人データ」の理解が必要であるため、改正点についてご説明する前に「個人データ」のご説明を行います(個人情報については、弊所ホームページにて当職が解説しておりますので、そちらをご参照ください。)。
「個人データ」への理解が十分であって、改正点だけ把握されたい方は第3を読み飛ばして、第4からお読みください。
(1)「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(法第16条3項)。
(2)「個人情報データベース等」は、以下のいずれかに当てはまる情報の集合物です(法第16条1項)。
① 特定の個人情報をコンピュータを用いて検索できるように体系的に構成されたもの
個人情報データベース等に該当すれば、それに含まれる個人情報は全て個人データとなります。
例えば、「電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)」7)が個人情報データベース等に該当しますので、そこに含まれている氏名・アドレス等の個人情報は「個人データ」となります。
このように個人情報データベース等に当たるか否かの判断が重要ですので、どのような場合に個人情報データベース等に当たるかをガイドラインからご紹介します。
(1)個人情報データベース等に該当する例
(2)個人情報データベース等に該当しない事例
政令8)によって、個人の権利利益を害するおそれが少ないものは、個人情報データベース等から除外されています。ガイドライン17頁ではその一例として「市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等」が示されています。
個人情報取扱事業者9)は、以下①~④の事態が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告し、本人に通知等をしなければならないのが原則10)11)12)です(法第26条、同法施行規則第7条参照。)。
個人情報保護委員会によるガイドラインや、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(以下「Q&A」という。)に報告・通知を要する具体例が挙げられていますので、以下にご紹介します。
(1)報告・通知を要する具体例
(2)報告・通知を要しない具体例
(3)状況によって報告・通知の要否が異なる具体例
(4)判断のポイント
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(法第23条)。
安全管理措置には、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置及び外的環境の把握等がありますが、ここでは詳細を割愛します。
個人情報取扱事業者は、保有個人データ22)の安全管理のために講じた措置を本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません(法第32条1項4号、施行令第10条1号)。23)
安全管理措置の内容について、法令による改正はありませんが、令和6年改正に併せてガイドラインが変更され、個人情報取扱事業者は、個人データのみならず、予定個人データについても安全管理措置を講じる必要が生じます24)。
また、安全管理措置を本人の知り得る状態に置き、又は本人の求めに応じて回答するという点に関しても、ガイドラインが変更され保有個人データのみならず、予定個人データに関する安全管理措置の内容について本人の知り得る状態に置くか、本人の求めによる回答を行う必要が生じます25)。
令和6年改正によって、個人情報取扱事業者が新たに行うべき対策として以下のようなものが考えられます。
(1)令和6年改正によって、安全管理措置を講ずる際には、新たにウェブスキミングの防止も目的として、本人が個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があります26)。
その他、予定個人データについて、ウェブスキミングによらない窃取も防止するための具体的な措置を講じることや、この措置を具体化するために規程の策定や変更を行うことが必要となります。
(2)安全管理措置の内容については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであると考えられています27)ので、一概には申し上げることはできません。
もしご不安がございましたらお気軽にご相談ください。
(1)保有個人データの安全管理措置については、令和6年改正によって、予定個人データに関するものも含めて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません。
この義務に関して、これまでプライバシーポリシーに当該安全管理措置の内容を記載することで対応していた事業者は、プライバシーポリシーを、予定個人データについての安全管理措置も含めた内容に変更する必要があります。
(2)他方で、本人の求めに応じて遅滞なく安全管理措置の内容を回答する方法で対応していた事業者は、本人の求めがあった場合の回答内容に、予定個人データについての安全管理措置も含める必要が生じます。
上記の各変更にあわせて、個人情報に関する社内規程の変更や社内への周知も必要となります。
特に、不正目的によって行われたおそれがある個人データの漏えい等のおそれについては、速やかに個人情報保護委員会への報告・本人への通知等を行わなければなりません28)。
そのために、担当部署が迅速に事態を把握し、上記の報告・通知等の義務を果たせるように、社内に向けて十分に周知する必要があります。
個人情報の保護に関する要請は年々高まる一方であり、個人情報の流出が生じた場合に多額の損害賠償責任を負うケースもございます。
このようなリスクを回避するためにも、令和6年改正への対応に併せて、社内の個人情報の取り扱いについて見直されてみてはいかがでしょうか。
お困り事やご不明点等がございましたらお気軽にお問い合わせください。
以上
お困り事やご不明点等がございましたらお気軽にお問い合わせください。
1)個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28 年11 月(令和5 年12 月一部改正)(以下「ガイドライン」といいます。)
2)Webスキミングとは、ECサイト(Eコマースサイト)上に不正なコードを挿入して、入力された決済情報を窃取する攻撃手法である。...(中略)...Webスキミングの代表的な手法は、ECサイトの管理画面等へ総当たり攻撃を行ってID/PWを推測したり、脆弱性スキャンを行って改ざん可能な脆弱性を把握することから始まる。その後、窃取した情報を元に不正ログインやWebコンテンツを改ざんし、決済画面などにWebスキミング用の不正なコードを挿入。ユーザがECサイトで決済情報を入力すると、攻撃者のサーバへ決済情報が送信される、といったものである。("Webスキミング".https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/37.html. NECソリューションイノベータ株式会社.2024-7-17.)
3)個人情報保護委員会(第253回)議事概要参照。
4)本稿では分かりやすさの観点から、攻撃者による情報の不正取得を「窃取」と表現します。
5)「本人」とは、個人情報によって識別される特定の個人をいいます(法第2条第4項)。
6)個人情報保護法施行令(以下「施行令」という。)第4条第2項参照。
7)ガイドライン16~17頁。
8)施行令第4条第1項参照。
9)「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(法第16条第2項)。ただし、国の機関、地方公共団体、独立行政法人等及び地方独立行政法人は除かれます(同項但書)。
10)当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、個人情報保護委員会への報告は不要です(法第26条第1項但書)。
11)本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、本人への通知は不要です(法第26条第2項但書)。
12)以下、本項では法第26条に基づく個人情報保護委員会への報告、本人への通知等について、単に「報告・通知」といいます。
13)これらの個人情報について、「不正の目的をもって行われたおそれがある」ことも必要ですが、鞄やアンケートが盗難された場合には一般的にこの「おそれ」が認められるものと考えられます。
14)ガイドライン61頁。
15)ガイドライン61頁。
16)Q&A36~37頁(Q6-7②)。なお、本人が入力予定であった当該個人情報について、個人情報データベース等へ入力すること等が予定されていることが必要ですが、ID・パスワードは通常、そのように予定されていると考えられます。
17)Q&A37~38頁(Q6-8)。
18)ガイドライン62頁。
19)Q&A36~37頁(Q6-7①)。
20)Q&A41頁(Q6-17)。
21)Q&A41頁(Q6-17)等を編集して記載。
22)「保有個人データ」とは、①個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、②その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます(法第16条第4項参照)。上記①については、委託を受けて管理しているデータであって開示・訂正等の権限がない場合には「保有個人データ」から除外されます。上記②は存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるものや、違法又は不当な行為を助長し、又は誘発するおそれがあるもの等が挙げられています(施行令第5条)
23)ただし、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除きます(施行令第10条第1号括弧書)。
24)ガイドライン53頁参照
25)ガイドライン122頁を編集して記載。
26)Q&A37頁(Q6-7)を編集して記載。
27)ガイドライン168頁、Q&A80頁(Q10-1)を編集して記載。
28)施行規則第8条・第9条参照。