金融機関が納得する経営改善計画書の書き方|構成要素から専門家への依頼まで解説
catfish_admin
経営リスクナビ
個人情報漏えい時の本人通知義務化とは?改正個人情報保護法の対象ケース・内容・方法を解説
catfish_admin
2022年4月に施行された改正個人情報保護法により、個人データの漏えい等が発生した際の「本人への通知」が法的に義務化されました。企業の担当者にとって、どのような場合に通知義務が発生し、具体的に何をすべきかを正確に理解しておくことは、コンプライアンス体制の構築とインシデント発生時の迅速な対応に不可欠です。この記事では、本人通知義務の対象となる4つのケースや通知内容、期限、方法といった実務上の要点を、例外規定や罰則にも触れながら網羅的に解説します。
目次
改正個人情報保護法における本人通知義務の概要
2022年4月施行の改正法で「本人への通知」が義務化された背景
2022年4月1日に全面施行された改正個人情報保護法では、個人データの漏えい等が発生した際の、個人情報保護委員会への報告と本人への通知が法的に義務化されました。改正前はこれらが努力義務に留まっていたため、重大なインシデントが発生しても適切な対応がなされないケースがあり、監督機関が事態を迅速に把握できないという課題がありました。
今回の義務化は、以下の背景を踏まえたものです。
本人通知が義務化された主な背景
- 国際的な潮流との整合性: 欧州のGDPR(一般データ保護規則)をはじめ、諸外国で当局への報告義務が標準となっており、日本の法制度を国際水準に合わせる必要がありました。
- 二次被害の防止: 本人が漏えいの事実を速やかに知ることで、クレジットカードの停止やパスワードの変更といった自衛措置を講じることが可能になります。
- 事業者の責任意識の明確化: 法的義務とすることで、事業者に対してインシデント発生時の迅速かつ適切な対応を厳格に求め、個人の権利利益の保護を徹底する狙いがあります。
この義務に違反した場合、個人情報保護委員会による是正勧告や措置命令の対象となり、命令に従わない場合は罰則が科される可能性があります。事業者にとって、本人通知は遵守すべき重要な法的責務となっています。
義務の対象となる「漏えい、滅失、毀損」の具体的な定義
本人への通知義務の対象となるのは、個人データの「漏えい、滅失、毀損」が発生した、またはそのおそれがある場合です。それぞれの定義は以下の通りです。
「漏えい、滅失、毀損」の定義と具体例
- 漏えい: 個人データが外部に流出すること。メールの誤送信、不正アクセスによる情報の窃取、システム設定ミスで公開状態になることなどが該当します。
- 滅失: 個人データの内容が失われること。データを記録した書類や媒体の紛失、誤ったデータの完全消去などが該当します。ただし、バックアップが存在し、そこから復元可能であれば、実質的な被害は限定的となることがあります。
- 毀損: 個人データの内容が意図せず変更されたり、利用不能な状態になったりすること。ランサムウェアによる暗号化、データの改ざん、復元キーの紛失などが該当します。
これらの事態が発生した、あるいはそのおそれが生じた場合、事業者は法的な報告および通知の要否を速やかに検討する必要があります。
本人への通知義務が発生する4つのケース
ケース1:要配慮個人情報が含まれる漏えい等が発生した場合
要配慮個人情報とは、本人の人種、信条、病歴など、不当な差別や偏見を生じさせる可能性のある特に機微な情報を指します。これらの情報が漏えいした場合、本人の権利利益に重大な影響を及ぼすおそれが極めて高いため、対象人数が1名であっても本人への通知義務が発生します。
要配慮個人情報の具体例
- 人種、信条、社会的身分
- 病歴、心身の障害、健康診断の結果
- 医師等による指導・診療・調剤に関する情報
- 犯罪の経歴、犯罪により害を被った事実
事業者は、自社が取り扱う個人データにこれらの情報が含まれていないか、平時から正確に把握しておくことが重要です。
ケース2:不正利用により財産的被害が生じるおそれがある場合
クレジットカード番号や決済サービスの認証情報など、不正利用によって本人に直接的な財産的被害が生じるおそれがある個人データが漏えいした場合も、人数にかかわらず通知義務が発生します。これにより、本人がカードの利用停止などの防御措置を速やかに講じられるようにするためです。
対象となる情報の例
- クレジットカード番号(特にセキュリティコードを含む場合)
- 金融機関の口座情報とオンラインバンキングのログイン情報
- 決済機能を持つウェブサービスのIDとパスワードの組み合わせ
ただし、銀行口座番号のみなど、それ単体では直ちに不正な決済に利用できない情報の漏えいは、このケースには該当しないと解釈される場合があります。
ケース3:不正の目的をもって行われたおそれがある場合
外部からのサイバー攻撃や内部関係者による不正な持ち出しなど、悪意のある第三者の行為によって漏えい等が発生した場合も、人数を問わず通知義務の対象となります。不正な目的による行為は、情報が悪用されるリスクが類型的に高いと判断されるためです。
不正目的による行為の具体例
- 不正アクセスやサイバー攻撃による個人データの窃取
- ランサムウェア攻撃によるデータの暗号化と身代金の要求
- 従業員による顧客情報の不正な持ち出しや名簿業者への売却
- フィッシングサイトで不正に個人情報を詐取する行為
不正が疑われる事案では、被害の拡大を防ぐため、判明している範囲で速やかに本人へ警告を発することが求められます。
ケース4:対象となる本人の数が1,000人を超える場合
上記3つのケースに該当しない場合でも、漏えい等の対象となった個人データの本人の数が1,000人を超える場合は、本人への通知義務が発生します。一般的な個人情報であっても、大規模な漏えいは社会的影響が大きく、事業者の安全管理体制に重大な問題がある可能性が高いと見なされるためです。
1,000人超の漏えい等の具体例
- システムの設定ミスにより、大量の顧客情報がインターネット上で閲覧可能になっていたケース
- メールマガジン配信時に、多数の受信者のメールアドレスが互いに見える状態で誤送信したケース
漏えいした可能性のある最大人数が1,000人を超える場合もこのケースに該当するため、迅速かつ正確な状況把握と通知が不可欠です。
本人への通知が不要となる例外的な場合
高度な暗号化など、個人の権利利益を保護する措置が講じられている場合
漏えいした個人データに対して、第三者が内容を解読することが事実上不可能な高度な保護措置が講じられている場合、例外的に本人への通知義務が免除されます。これは、個人の権利利益が侵害されるリスクが極めて低いと考えられるためです。
高度な保護措置と認められるための要件
- 電子政府推奨暗号リスト等に掲載されている安全性の高いアルゴリズムによる暗号化
- 暗号化されたデータと復号鍵が厳格に分離して管理されていること
- 漏えいを検知した際に、直ちに遠隔でデータを無効化できる等の技術的措置
単なるパスワード設定だけでは不十分であり、措置の有効性を客観的に証明できることが重要です。
本人への通知が困難であり、代替措置を講じている場合
本人への通知義務が発生しても、個別に連絡することが物理的に困難な場合には、本人の権利利益を保護するための代替措置を講じることで通知義務を果たすことができます。これは、連絡先不明等の理由で通知が滞り、かえって本人の保護が図られない事態を避けるための規定です。
通知が困難な場合と認められる代替措置
- 通知が困難な場合の例: 本人の連絡先(住所、メールアドレス等)を保有していない、保有していても古くて連絡が取れない。
- 認められる代替措置の例: 事業者のウェブサイト上での事実の公表、問い合わせ窓口の設置と周知、新聞広告による告知。
ただし、一部でも連絡先が判明している本人に対しては、個別の通知を試みる努力が求められます。
本人へ通知すべき内容・時期・方法
通知に含めるべき事項(概要、原因、二次被害防止策など)
本人への通知は、被害を受けた本人が状況を理解し、自衛措置を講じるために必要な情報を含んでいなければなりません。法令では、以下の事項を通知に含めることが定められています。
本人への通知に含めるべき5つの事項
- 概要: いつ、どのような事態が発生したかという事実関係。
- 漏えいした個人データの項目: 氏名、住所、クレジットカード番号など、対象となった具体的な情報項目。
- 原因: 不正アクセス、人為的ミスなど、判明している範囲での発生原因。
- 二次被害またはそのおそれ: 想定されるリスク(例:フィッシングメールの増加)とその内容。
- その他本人にとって参考となる事項: 本人が取るべき対策(パスワード変更の推奨など)や、問い合わせ窓口の案内。
これらの情報に加えて、真摯な謝罪と再発防止への取り組みを示すことも、信頼回復のために重要です。
通知の時期:「速やかに」の具体的な解釈と実務上の目安
法律では、事態を把握した後「速やかに」本人へ通知するよう定めていますが、具体的な日数は明記されていません。これは事案の性質に応じて判断すべきとされているためです。
実務上の目安として、全容解明を待つのではなく、被害拡大の防止に必要な情報が判明した時点で第一報を通知することが重要です。特にクレジットカード情報のように緊急性の高い情報が漏えいした場合は、一刻も早い通知が求められます。一方で、不正確な情報で混乱を招かないよう配慮も必要です。遅くとも、個人情報保護委員会への確報を提出するタイミングまでには、本人への通知を完了させるか、実施の目処を立てておくことが望ましいでしょう。
通知の原則的な方法(書面・電話・電子メール等)
本人への通知方法は、事業の性質や個人データの取り扱い状況に応じて、本人が内容を確実に認識できる合理的かつ適切な方法を選択する必要があります。
主な通知方法
- 文書の郵送: 最も確実な方法の一つですが、時間とコストがかかります。
- 電子メール: 迅速に多数へ通知できますが、見落とされるリスクもあります。
- 電話・口頭: 緊急性は高いですが、後から確認できるよう書面等を補完することが望ましいです。
- ウェブサイトでの公表: 個別通知が困難な場合の代替措置や、個別通知を補完する目的で用いられます。
どの方法を選択するにせよ、本人が一目で重要な通知だと分かるような工夫と、通知の証跡を残しておくことが実務上重要です。
平時から準備しておくべき通知体制と判断フロー
インシデント発生時に迅速かつ冷静な対応を行うためには、平時からの準備が不可欠です。事後の混乱を最小限に抑えるため、以下のような体制やツールを整備しておくことが推奨されます。
平時に準備すべきこと
- インシデント対応チームの設置: 責任者を明確にし、情報集約と意思決定を迅速化する体制を構築する。
- 判断フローチャートの作成: 漏えい事案が発生した際に、報告・通知義務の有無を即座に判断できるよう整理しておく。
- 通知文のひな形の用意: 事案に応じてカスタマイズ可能な通知文のテンプレートを準備する。
- 外部リソースの確保: 大量の郵送やメール配信を委託する業者や、問い合わせ窓口の代行サービスを事前にリストアップしておく。
- 定期的な訓練の実施: 策定したフローや体制が実効的であるかを確認・改善するためのシミュレーションを行う。
通知義務の主体と委託先で漏えいが発生した場合の責任
原則として通知義務を負うのは個人情報取扱事業者(委託元)
個人データの漏えい等が発生した場合、本人への通知義務を負う主体は、原則としてそのデータを預かっている個人情報取扱事業者(委託元)です。業務を外部に委託している場合でも、この責任は変わりません。
委託先は委託元の指示に基づきデータを取り扱っているに過ぎず、本人との関係で第一次的な責任を負うのは、あくまでデータを収集・利用している委託元です。したがって、委託先のミスや不正によって漏えいが発生した場合でも、委託元が主体となって本人への通知義務を履行しなければなりません。
委託先で漏えいが発生した場合の委託元の監督責任と対応
委託先で漏えいが発生した場合、委託元は自らの通知義務を果たすだけでなく、委託先に対する監督責任も問われます。個人情報保護法は、委託元に対し、委託先が安全管理措置を適切に講じるよう、必要かつ適切な監督を行うことを義務付けています。
委託元に求められる監督義務は、主に以下の3段階に分けられます。
委託元の監督責任の段階
- 委託先の選定: 適切な安全管理体制を持つ委託先を慎重に選ぶ。
- 委託契約の締結: 安全管理に関する具体的な義務や責任分担を明記した契約を結ぶ。
- 委託先における取扱状況の把握: 委託先が契約通りにデータを取り扱っているかを定期的・継続的に確認する。
これらの監督を怠っていた場合、委託元自身の過失と見なされ、損害賠償責任などを負うリスクが高まります。
委託先との契約で定めておくべきインシデント発生時の連携ルール
緊急時に委託先と迅速に連携できるよう、委託契約書にはインシデント発生時の具体的なルールを明記しておくことが極めて重要です。これにより、責任の押し付け合いによる初動の遅れを防ぐことができます。
契約に定めておくべき主な連携ルール
- 委託元への即時報告義務: 漏えい等(そのおそれを含む)を覚知した場合、直ちに委託元へ報告することを義務付ける。
- 報告内容の具体化: 発生日時、原因、影響範囲、対応状況など、報告に含めるべき項目を具体的に定める。
- 調査への協力義務: 委託元が行う事実調査や原因究明に全面的に協力することを義務付ける。
- 是正措置の実施義務: 委託元の指示に従い、被害拡大防止や再発防止のための措置を講じることを定める。
個人情報保護委員会への報告義務との関連性
報告義務の対象ケースと本人通知義務との関係
個人情報保護委員会への報告義務と本人への通知義務は、原則として一体のものです。改正法では、これら二つの義務が発生する条件は一致しており、以下の4つのケースのいずれかに該当する場合、報告と通知の両方が必要になります。
報告・通知義務が共に発生する4つのケース
- ケース1:要配慮個人情報が含まれる漏えい等
- ケース2:不正利用により財産的被害が生じるおそれがある漏えい等
- ケース3:不正の目的をもって行われたおそれがある漏えい等
- ケース4:対象となる本人の数が1,000人を超える漏えい等
委員会への報告が必要な事案は、本人への通知も必要であると理解しておくのが実務上の基本です。独自の解釈でどちらか一方の義務のみを履行することは、法令違反のリスクを伴います。
報告の期限(速報・確報)と本人通知の実施順序
委員会への報告は「速報」と「確報」の二段階で行いますが、本人への通知は「状況に応じて速やかに」とされており、実施のタイミングは事案の性質に応じて柔軟に判断する必要があります。
| 報告の種類 | 期限の目安 |
|---|---|
| 速報 | 漏えい等の事態を知ったときから概ね3~5日以内 |
| 確報 | 漏えい等の事態を知ったときから原則30日以内(不正目的の場合は60日以内) |
一般的には、委員会へ速報を提出した後に調査を進め、本人へ説明すべき内容が固まった段階で通知を行います。しかし、緊急性が高い場合は、速報と同時か、それより前に本人へ第一報を通知することもあります。重要なのは、報告と通知を一連の危機管理プロセスと捉え、本人の権利利益保護を最優先にタイミングを判断することです。
委員会報告と本人通知の内容に齟齬を出さないための実務上の留意点
委員会へ提出する報告書と、本人へ送付する通知文の内容は、事実関係において完全に一致している必要があります。両者の内容に食い違いがあると、事業者の説明責任が問われ、社会的信用を失う原因となります。実務上は、報告書の内容を基に、本人に必要な情報を分かりやすく抽出・整理して通知文を作成するのが一般的です。調査の過程で新たな事実が判明した場合は、委員会への追完報告と並行し、必要に応じて本人への追加通知も誠実に行うべきです。
本人通知義務に違反した場合の罰則・行政処分
個人情報保護委員会による是正勧告や措置命令
本人への通知義務を怠るなど、個人情報保護法に違反した事業者に対しては、個人情報保護委員会による行政処分が段階的に科されます。
行政処分の流れ
- 指導・助言: 法令違反や不適切な運用が見られる場合に、是正を促す行政指導が行われます。
- 勧告: 正当な理由なく指導に従わない場合など、個人の権利利益保護のために必要があるときに、具体的な是正措置を講じるよう勧告されます。
- 命令: 勧告にも従わず、個人の重大な権利利益の侵害が切迫している場合、より強制力の強い措置命令が出されます。
勧告や命令を受けた事実は公表される可能性があり、企業の信用に大きなダメージを与える可能性があります。
措置命令違反に対する刑事罰(法人・個人への罰金等)
個人情報保護委員会の措置命令に違反した場合は、刑事罰の対象となります。改正法によって法定刑が大幅に引き上げられ、企業の責任がより重くなっています。
| 対象 | 罰則内容 |
|---|---|
| 行為者個人 | 1年以下の懲役または100万円以下の罰金 |
| 法人 | 1億円以下の罰金(両罰規定) |
これらの刑事罰は、企業の存続そのものを脅かしかねない重大なリスクです。本人通知義務の不履行は、最終的にこのような厳しい処罰に繋がりうることを認識し、法令遵守を徹底する必要があります。
個人情報漏えいの本人通知に関するよくある質問
Q. 「本人への通知が困難な場合」とは具体的にどのような状況ですか?
「本人への通知が困難な場合」とは、客観的に本人へ情報を伝達する手段がない、または著しく困難な状況を指します。単に手間がかかるという理由では認められません。
「通知が困難」と判断される主な状況
- 本人の連絡先(住所、メールアドレス、電話番号など)を一切保有していない。
- 保有している連絡先が古く、郵便物が返送されたりメールがエラーになったりして連絡が取れない。
- 漏えい規模が数万人単位と極めて大きく、個別の連絡が事業継続に深刻な支障をきたす。
このような場合には、ウェブサイトでの公表などの代替措置を講じることで、通知義務を果たしたとみなされます。
Q. 1,000人以下の漏えいであれば、他の要件に該当しない限り通知は不要ですか?
はい、法律上の義務という点ではその通りです。漏えい人数が1,000人以下で、かつ「要配慮個人情報」「財産的被害のおそれ」「不正目的」のいずれの要件にも該当しない場合、法的な報告・通知義務は発生しません。
ただし、法的義務がないことが、対応が不要であることを意味するわけではありません。たとえ少人数の漏えいであっても、本人との信頼関係を維持し、企業の評判を守るためには、個別に事情を説明し、誠実に対応することが望ましい場合が多くあります。放置することでクレームやSNSでの拡散に繋がり、かえって事態が悪化するリスクも考慮し、事案ごとに柔軟な対応を検討すべきです。
Q. 本人への通知文を作成する際のポイントや注意点はありますか?
本人への通知文は、単なる事実報告ではなく、本人の不安を軽減し、信頼を回復するための重要なコミュニケーションです。作成にあたっては以下の点に注意することが重要です。
通知文作成のポイント
- 真摯な謝罪: まず冒頭で、企業としての責任を認め、率直にお詫びの意を表明します。
- 平易な表現: 専門用語を避け、誰にでも理解できる分かりやすい言葉で事実関係を説明します。
- 具体的な自衛策の提示: パスワードの変更依頼など、本人が二次被害を防ぐために今すぐ取るべき行動を具体的に案内します。
- 問い合わせ窓口の明記: 本人が質問や相談をできる専用の窓口を設置し、連絡先を明確に記載します。
- 責任転嫁と受け取られる表現を避ける: 「弊社もサイバー攻撃の被害者」といった表現を強調しすぎると、無責任な印象を与えかねないので注意が必要です。
まとめ:個人情報漏えい時の本人通知義務を正しく理解し、万一に備える
本記事では、改正個人情報保護法における本人への通知義務について、その対象となる4つのケースから具体的な通知方法、期限、違反時の罰則までを詳しく解説しました。個人データの漏えい等が発生した場合、事業者は個人情報保護委員会への報告と並行し、「速やかに」本人へ通知する法的責務を負います。特に「要配慮個人情報」や「不正目的」が関わる場合は、漏えい人数にかかわらず義務が発生するため注意が必要です。
通知義務を適切に履行するには、法令の正確な理解はもちろんのこと、インシデント発生を想定した判断フローや通知文のひな形を平時から準備しておくことが極めて重要です。万一の事態に迅速かつ誠実に対応できる体制を構築し、企業の信頼と個人の権利利益を守るための第一歩として、本記事の内容をご活用ください。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。当社は、企業取引や与信管理における“潜在的な経営リスクの兆候”を早期に察知・通知するサービス「Riskdog」も展開し、経営判断を支える情報インフラの提供を目指しています。
