個人情報漏えい報告義務、委員会への手続きと本人通知のポイント

個人データの漏えい等が発生した際、改正個人情報保護法で義務化された個人情報保護委員会への報告について、具体的な要件や期限を正確に把握しておくことは、企業のリスク管理上不可欠です。万が一のインシデント発生時に迅速かつ適切に対応できなければ、重い罰則が科されるだけでなく、企業の社会的信用を大きく損なう事態になりかねません。この記事では、報告義務の対象となる重大事態の具体的なケースから、速報・確報の2段階に分かれた報告手続き、本人への通知義務、そして義務違反時の罰則までを網羅的に解説します。

個人情報保護委員会への報告義務とは

改正法で義務化された報告・通知義務

改正個人情報保護法により、事業者は個人データの漏えい等が発生したことを把握した場合、個人情報保護委員会への報告と本人への通知が法的な義務となりました。

従来、これらの対応は努力義務とされていましたが、デジタル社会の進展に伴う個人情報の取り扱い規模の拡大や、漏えい時の被害が深刻化するリスクの高まりを受け、義務化されました。データ主体の権利保護を強化する国際的な潮流に合わせたものでもあります。

例えば、サイバー攻撃で顧客データベースの情報が流出した場合や、従業員が誤って顧客名簿を外部にメールで送信してしまった場合など、個人の権利利益を害するおそれが大きい事態が発生した際に、企業は速やかに個人情報保護委員会へ報告し、影響を受ける本人へも事実を通知する責任を負います。本人への通知は、二次被害を防ぐための自衛措置を促す重要な目的があります。

このように、法改正によってインシデント発生時の企業の対応が厳格化されたため、平時から迅速かつ適切な報告・通知体制を構築しておくことが不可欠です。

対象となる「漏えい等」の定義

個人情報保護法で報告対象となる「漏えい等」とは、個人データの機密性・完全性・可用性が損なわれる事態を指し、具体的には以下の3つの類型に分類されます。

単に情報が外部に漏れるだけでなく、データが利用できなくなる滅失や毀損も、本人の権利利益に重大な影響を及ぼすため、報告義務の対象となります。ただし、誤送信したメールを相手が閲覧する前に削除したことが確認できた場合など、個人データが第三者に閲覧されていないことが確実な場合は「漏えい」に該当しないと判断されることもあります。

事業者は、これらの事態を広く認識し、インシデント発生時に客観的な判断ができる基準を設けておく必要があります。

報告義務の対象となる4つの重大事態

要配慮個人情報に関する漏えい等

本人の人種、信条、病歴、犯罪経歴といった要配慮個人情報が漏えい等した場合は、たとえ1件であっても個人情報保護委員会への報告義務が生じます。

要配慮個人情報は、その性質上、本人に対する不当な差別や偏見を生じさせる危険性が極めて高く、一般の個人情報以上に厳格な保護が求められます。例えば、医療機関が患者の診療情報を別の患者に誤って渡してしまったケースや、企業が従業員の病歴に関する情報を社外に誤送信したケースなどが該当します。漏えいした件数が少なくても、個人の尊厳に直結する情報であるため、事態の重大性が重く見られ、迅速な報告が義務付けられています。

財産的被害のおそれがある漏えい等

不正利用されることで本人に財産的被害が生じるおそれのある個人データが漏えい等した場合も、件数にかかわらず報告義務の対象となります。

これには、クレジットカード番号や、送金・決済機能を持つサービスのログインIDとパスワードの組み合わせなどが該当します。これらの情報が流出すると、なりすましによる不正利用や不正送金に直結し、本人に直接的かつ甚大な金銭的被害をもたらす危険性が高いためです。例えば、ECサイトから顧客のクレジットカード番号や有効期限等の情報が流出した事案は、典型的な報告対象となります。事業者は、決済関連情報を扱う際は、漏えいが直接的な金銭被害に結びつくことを強く認識し、速やかに報告しなければなりません。

不正な目的によるおそれのある漏えい等

サイバー攻撃や内部関係者による不正な持ち出しなど、不正の目的をもって行われたおそれのある個人データの漏えい等も、件数を問わず報告が義務付けられます。

単なる過失とは異なり、明確な悪意に基づく漏えいは、窃取された情報が詐欺や転売などの犯罪行為に悪用される可能性が極めて高く、二次被害の危険性が非常に大きいためです。具体的には、サーバーへの不正アクセスによる顧客情報の窃取、退職する従業員による顧客リストの不正な持ち出し、ウェブサイト改ざんによるフィッシング詐欺などが含まれます。このような事態は被害の拡大が速いため、企業はただちに状況を把握し、速やかに報告する義務があります。

1,000人を超える個人データの漏えい等

漏えい等した個人データに係る本人の数が1,000人を超える事態、またはそのおそれがある事態は、情報の性質にかかわらず報告義務の対象となります。

影響を受ける本人が多数に及ぶ大規模な事案は、社会的な影響が大きく、事業者の安全管理体制に重大な不備がある可能性を示すため、監督官庁による状況把握と指導が必要です。例えば、システムの権限設定ミスで数万人分の顧客名簿が閲覧可能になっていたケースや、メールを一斉送信する際に宛先設定を誤り、数千人分のメールアドレスが受信者間で共有されてしまったケースなどが該当します。発覚当初に正確な人数が不明でも、調査の結果1,000人を超える可能性があると判明した時点で報告が必要です。

委員会への報告手続き：2段階報告

速報の報告期限と報告内容

漏えい等の事態を把握した時点から概ね3日～5日以内を目安に、第一段階として「速報」を個人情報保護委員会へ報告する必要があります。この期間には土日や祝日も含まれるため、迅速な対応が求められます。

速報の目的は、監督官庁が重大インシデントの発生を早期に把握し、初動対応を監督することにあります。この段階ではすべての事実が判明していなくても、把握している範囲の情報を報告することが重要です。

詳細な原因や再発防止策は「調査中」として報告し、判明している事実を迅速に伝えることが優先されます。

確報の報告期限と報告内容

第二段階の「確報」は、原則として事態を把握した日から30日以内に提出します。ただし、不正の目的による漏えい等の場合は、原因究明に時間を要するため60日以内とされています。

確報は、事案の全容、根本原因、具体的な再発防止策を網羅的に報告し、インシデント対応を総括するものです。

期限内に調査が完了しない場合でも、その時点で判明している内容を報告し、残りの事項は判明次第、追加で報告（追完報告）します。

オンライン報告フォームの利用方法

個人情報保護委員会への漏えい等の報告は、原則として同委員会のウェブサイトに設置されている専用のオンライン報告フォームを通じて行います。

オンラインで報告することで、事業者は統一されたフォーマットで迅速に情報を送信でき、行政側も効率的に報告を処理・管理できます。報告フォームには、速報・確報の別、発生事態の類型、個人データの項目、原因、二次被害の有無などを入力する欄が設けられています。平時から報告フォームの場所や入力項目を確認し、有事に備えておくことが重要です。

報告内容の正確性と公表範囲の検討ポイント

委員会への報告内容は、客観的な事実に基づき正確に記載する必要があります。推測や不確かな情報に基づいた報告は、混乱を招き、企業の信用をさらに損なう原因となります。調査の進捗によって情報が更新された場合は、その都度、最新の事実を報告します。

同時に、社会に対してどこまでの情報を公表するかは慎重に検討しなければなりません。被害拡大を防ぐための注意喚起は必要ですが、システムの具体的な脆弱性など、模倣犯に悪用されかねない技術的な詳細情報を公表することは避けるべきです。正確な事実の報告と、二次被害を防ぐための適切な情報開示のバランスを見極めることが、危機管理対応の鍵となります。

セットで対応すべき本人への通知義務

本人への通知が必要な場合

個人情報保護委員会への報告義務が生じる4つの重大事態のいずれかが発生した場合、事業者は原則として、影響を受ける本人に対しても速やかにその旨を通知する義務を負います。

この通知は、本人が自らの情報が漏えいした事実を認識し、クレジットカードの利用停止やパスワードの変更といった二次被害を防ぐための自衛措置を講じる機会を保障するために不可欠です。例えば、ECサイトからクレジットカード情報が流出した場合、事業者は本人に速やかに通知し、カードの不正利用に注意を促す必要があります。報告義務と通知義務は一体のものとして対応することが求められます。

通知すべき内容とタイミング

本人への通知は、事態の状況に応じて速やかに行う必要があり、本人が状況を理解しやすいよう、専門用語を避けて分かりやすく伝えることが重要です。通知のタイミングは、即時の通知が二次被害防止につながる一方、不正確な情報で混乱を招かないよう、事案の性質に応じて適切に判断します。

状況に応じた適切な通知方法

本人への通知方法は、状況に応じて本人が内容を確実に認識できる、合理的で適切な手段を選択する必要があります。画一的な方法ではなく、対象者の特性や企業との普段の接点を考慮して最適な手段を講じます。

通知の際は、迷惑メールなどと誤認されないよう、件名や表題に工夫を凝らすことも大切です。

「本人への通知が困難な場合」の代替措置とその判断基準

本人の連絡先が不明であるなど、個別の通知が困難な場合には、通知に代わる代替措置を講じることが認められています。これは、企業の対応が滞ることを防ぎつつ、本人が情報を知る機会を確保するためです。

代替措置としては、自社ウェブサイトでの事案の公表や、本人が自身の情報が対象かを確認できる専用の問い合わせ窓口（コールセンターなど）の設置が挙げられます。郵送した通知が宛先不明で大量に返送されてきた場合などが、この代替措置を検討する典型的なケースです。直接通知ができない場合でも、こうした措置を通じて本人の権利利益を保護する努力が求められます。

報告義務の例外と違反時の罰則

報告・本人通知が不要となる例外ケース

漏えい等が発生した場合でも、個人の権利利益が侵害されるおそれが著しく低い特定のケースでは、委員会への報告および本人への通知義務が免除されます。

平時から高度な暗号化などの技術的対策を講じておくことは、万一のインシデント発生時における法的な報告リスクを低減させる上で非常に有効です。

義務違反に対する罰則の内容

正当な理由なく個人情報保護委員会への報告を怠ったり、虚偽の報告を行ったりした場合、まず委員会から是正を求める勧告が出されます。これに従わず、個人の重大な権利利益の侵害が切迫していると判断されると、法的拘束力のある命令が出されます。

この命令に違反した場合、行為者には1年以下の懲役または100万円以下の罰金が科される可能性があります。さらに、法人両罰規定に基づき、企業に対しても最大で1億円以下の罰金という極めて重い罰則が科されるおそれがあります。命令違反の事実は公表されるため、罰金だけでなく企業の社会的信用の失墜という深刻なダメージにつながります。報告義務違反は、企業の存立を揺るがしかねない重大なリスクです。

インシデント後の再発防止策

事実関係の調査と原因の究明

インシデント発生後は、二次被害の防止と並行して、速やかに詳細な事実関係の調査と根本原因の究明に着手する必要があります。なぜ漏えいが発生したのかを正確に把握しなければ、実効性のある再発防止策を策定できないためです。

サイバー攻撃の場合は、外部の専門家によるデジタルフォレンジック調査で侵入経路や被害範囲を特定します。従業員のミスが原因の場合は、関係者へのヒアリングや業務プロセスの見直しを通じて、チェック体制の不備やルールの形骸化といった組織的な問題を洗い出します。表面的な事象だけでなく、背景にある根本原因を突き止めることが重要です。

影響範囲の特定と再発防止策の策定

原因究明の結果を踏まえ、影響を受けた個人データの範囲を正確に特定し、具体的な再発防止策を策定・実行します。原因に直接対処する実効性のある対策を講じることが、信頼回復の第一歩となります。

策定した再発防止策は、確報として個人情報保護委員会に報告するとともに、組織全体で着実に実行していく必要があります。

インシデント発覚時の初動対応と社内報告体制の重要性

インシデントの被害を最小限に抑えるには、発覚直後の迅速な初動対応が決定的に重要です。時間が経過するほど被害は拡大するため、現場の従業員が問題を一人で抱え込まず、速やかに上長や担当部署へ報告できるエスカレーションフローを確立しておくことが不可欠です。

不審なアクセスを検知したサーバーを直ちにネットワークから切り離す、誤送信メールの削除を依頼するなど、被害拡大を防ぐための具体的な初期行動をマニュアル化し、日頃から訓練しておくことが求められます。風通しの良い報告体制と実践的なマニュアルこそが、有事における最大の防御策となります。

よくある質問

委託先が漏えいさせた場合の報告義務は？

個人データの取り扱いを外部に委託している場合、委託先で漏えい等が発生した際は、原則として委託元と委託先の双方が報告義務を負います。ただし、委託先が委託元に対して速やかに事態を通知した場合は、委託先の報告・通知義務は免除され、委託元が一義的な責任を負って対応します。委託契約を締結する際に、インシデント発生時の連絡体制や責任分担を明確に定めておくことが重要です。

「漏えいのおそれ」の段階でも報告は必要？

はい、必要です。漏えいの事実が100%確定していなくても、客観的な状況から漏えいが発生したおそれが高いと判断される段階で速報の報告義務が生じます。例えば、サーバーへの不正アクセスの痕跡は確認されたものの、データが窃取されたかまでは断定できない場合でも、「漏えいのおそれ」があるとして報告が必要です。事態が確定するのを待つことで対応が遅れ、被害が拡大することを防ぐため、最悪の事態を想定して迅速に行動することが求められます。

報告後に委員会から指導や調査はありますか？

はい、あり得ます。報告後、事案の重大性や企業の対応状況に応じて、個人情報保護委員会から追加の資料提出要求や、指導・助言、実地調査（立ち入り検査）が行われることがあります。委員会は、報告された再発防止策が適切かなどを監督する責任を負います。報告は手続きの終わりではなく、その後の行政指導にも誠実に対応し、継続的な改善を図る必要があります。

提出した報告内容を訂正することは可能ですか？

はい、可能です。速報や確報を提出した後、調査の進展によって新たな事実が判明した場合や、報告内容に誤りがあった場合は、追加で報告を行い、内容を訂正・更新することができます。特にサイバー攻撃の事案では、初期段階で全容を把握することは困難です。最新の客観的な事実に基づき、誠実かつ継続的に情報をアップデートしていく姿勢が重要です。

報告対象が0件の場合、報告は不要ですか？

はい、不要です。漏えい等の事実がなく、かつその「おそれ」も完全に否定された場合、つまり報告対象となる事象が確実に0件であると確認できた場合は、報告義務は生じません。例えば、社内で紛失したUSBメモリが、第三者の目に触れることなく安全な場所で発見された場合などは、報告不要と判断できます。インシデント発生時には、まず状況を冷静に調査し、法的な報告義務の有無を的確に見極めることが大切です。

まとめ：個人情報漏えい時の報告義務を理解し、迅速な対応体制を築く

個人データの漏えい等が発生した場合、特に個人の権利利益を害するおそれが大きい4つの重大事態に該当する際は、個人情報保護委員会への報告と本人への通知が法的に義務付けられています。インシデントを把握後、速報を概ね3～5日以内、確報を原則30日以内に行う2段階報告のプロセスを理解し、迅速に対応することが求められます。有事の際は、まず報告義務の有無を的確に判断し、社内の報告体制に沿って速やかに行動することが被害拡大を防ぐ鍵となります。委託先での漏えいや、「漏えいのおそれ」がある段階での報告要否など、判断に迷う場合は自己判断せず、弁護士などの専門家に相談することが重要です。本記事で解説した内容は一般的な情報提供であり、個別の事案に対する法的な助言ではありませんので、具体的な対応については必ず専門家の見解を仰いでください。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ