【ご相談内容】
個人情報の漏洩事故が後を絶ちませんが、漏洩事故が発生した場合、会社はどのようなリスクを負うのか今一つ分かっていません。
また、令和4年(2022年)4月からの改正個人情報保護法において、漏洩事故が発生した場合の制裁措置に変更が生じたということも耳にしました。
個人情報保護法で定めるルール内容と、違反した場合の不利益について教えてください。
【回答】
個人情報保護法は改正の頻度が多く、その改正内容が現場実務に多大な影響を与えることから、法務部が設置されている会社であれば、法務担当者が改正動向等を含めてウォッチングしていることが多いかと思います。
しかし、法務部がない中小企業の場合、「名前は聞いたことがあるなぁ…」という程度であって、具体的な内容については把握していないということも多いのではないでしょうか。
そこで、本記事では、最初に個人情報保護法で定められている内容のポイントを解説した上で、令和4年(2022年)4月1日施行の改正内容につき観点に触れます。その後、情報漏洩が発生した場合の不利益につき解説し、最後に情報漏洩対策につき簡単な解説を行います。
【解説】
1.個人情報保護法とは
個人情報保護法とは、文字通り、個人情報を保護することを目的として、個人情報を取扱う者に対して一定の規制とルールを定めた法律です。
頻繁に法改正があるため、取っ付きにくい印象のある法律かもしれませんが、幹となる基本の部分を押さえておけば、対処可能な法律です。
ここではその幹として情報のライフサイクル、すなわち、「取得」「保有」「利用」の3段階に分けて個人情報の体系を整理します。
なお、厳密には個人情報、個人データ、保有個人データという情報の区分があるのですが、現場実務ではたとえ個人データ・保有個人データに該当しなくても、個人情報に該当さえすれば、個人情報保護法に準じた対応を行うことが多いように思われますので、本記事でも単に個人情報と表記する場合があります。
(1)取得時のルール
・個人情報の適切な取得(第20条)
「偽りその他不正の手段により個人情報を取得してはならない」と、当然すぎることを定めています。
ただ、現場では結構悩ましい問題が出てきます。例えば、販促DM送付目的で名簿屋から顧客名簿を買取った場合、果たして不正な手段で個人情報を取得したことにならないか問題となったりします(名簿屋が適切に顧客名簿を取得している保証がないため)。
抽象的であるが故に、判断に迷う規定といえるかもしれません。
・個人情報取得時の通知義務(第21条)
第21条第1項だけを読むと、原則的には、個人情報を取得した場合、“事後的”に利用目的を本人に通知又は公表すれば足りると読めてしまうのですが、現場実務では“事後的”な通知等では不十分となります。
なぜなら、第21条第2項において、何らかの約束事(契約)に基づき個人情報を書面・電磁的記録等に記述してもらうことで取得する場合、“あらかじめ”利用目的を明示しなければならないと定めているからです。
結局のところ、現場実務としては、利用目的を明記したプライバシーポリシーを公表し、本人に閲覧可能な状態にしておくことで対処することが原則であるといっても過言ではありません。
・利用目的の特定(第17条)
前述の「通知義務」でも触れた通り、個人情報を取得するに際しては、事前に利用目的を明示する必要があるところ、その利用目的については、「できる限り特定しなければならない」と定められています。
例えば、「事業活動に用いるため」、「マーケティング活動に用いるため」という記載だけでは特定不十分であることに注意が必要です。
(2)保有時のルール
・保有個人データに関する事項の公表等(第32条)
正確には保有個人データを保持する場合の規定なのですが、次の事項を公表する必要があります。要はプライバシーポリシーに、次の事項を明記する必要があると考えれば対応可能です。
- 個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 全ての保有個人データの利用目的
- 保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続及び保有個人データの利用目的の通知の求め又は開示の請求に係る手数料の額(定めた場合に限る。)
- 保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
- 保有個人データの取扱いに関する苦情の申出先
なお、“公表「等」”としていますが、この「等」には、保有個人データの開示請求への対応、訂正請求への対応、利用停止請求への対応などが含まれます。
要は、事業者が保有する個人情報について、本人が一定限度で干渉することが可能であるため、事業者が個人情報を固有の財産として自由に使用・収益・処分することができない場面が生じるということがポイントとなります。
・安全管理措置(第23条)
セキュリティ対策が叫ばれている状況下で当然といえば当然なのですが、個人情報保護法でも、「その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定められています。
問題はこの“安全管理措置”はどのレベルのものまで要求されるのかという点になるのですが、その時々の技術水準等を考慮する必要があり、一律に定めることは困難です。個人情報保護委員会が公表している「個人情報保護法ガイドライン(通則編)」などを参照しつつ、各自で決めるほかないと考えられます。
・従業者への監督義務(第24条)
「従業者」という言葉が用いられていますが、要は雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれるという意味です。
法律上は「必要かつ適切な監督」を行うよう定めるのみであり、上記の安全管理措置と同じくどのレベルのものが要求されるのか不透明な状態です。やはり個人情報保護委員会が公表している「個人情報保護法ガイドライン(通則編)」などを参照しつつ、各自で決めるほかないと考えられます。
・委託先への監督義務(第25条)
これについても法律は「必要かつ適切な監督」とだけしか書いていません。
ちなみに、個人情報保護委員会が公表している「個人情報保護法ガイドライン(通則編)」では、必要かつ適切な措置として、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握を記述しています。
・漏洩事故等が発生した場合の報告義務など(第26条)
個人情報の漏洩事故が後を絶ちませんが、漏洩、滅失、毀損、その他個人データの安全確保が脅かされるような事態が発生した場合、個人情報保護委員会への報告及び本人への通知が義務付けられています。
報告及び通知が必要となる場面は、次の4つです。
- 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
なお、個人情報保護委員会への報告内容についても法定化されており、「概要」、「漏えい等が発生し、又は発生したおそれがある個人データの項目」、「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」、「原因」、「二次被害又はそのおそれの有無及びその内容本人への対応の実施状況」、「公表の実施状況」、「再発防止のための措置」、「その他参考となる事項」となります(ちなみに、本人への通知内容は、「概要」、「漏えい等が発生し、又は発生したおそれがある個人データの項目」、「原因」、「二次被害又はそのおそれの有無及びその内容」、「その他参考となる事項」に限定されています)。
(3)利用時のルール
・目的外での利用禁止(第18条)
上記(1)にて、個人情報を取得する場合、利用目的を特定した上であらかじめ明示する必要があることを解説しました。
個人情報取得時のルール実効性を確保すること、及び本人に不意打ちを与えないこと等の観点からすれば、目的外での利用を禁止することはむしろ当然の帰結といえます。
なお、目的外での利用を行う場合、「あらかじめ本人の同意が必要」と定めています。もっとも、実際のところ本人からの同意を得ることは困難と考えられます。結局のところ、利用目的を定める段階で、できる限り広範囲での利用を想定した具体的な目的を定めておいた方が良いということになります。
・不適切な利用の禁止(第19条)
非常に抽象的な規定なのですが、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」と定められています。
当たり前と言えば当たり前なのですが、ただ一方で、法律違反とまでは言えないまでも道義的におかしい(不当である)と感じる場面はいくらでもありえます。そして、この「不当」について、各人の主観的な判断となりがちであるため、個人情報の利用につき、事業者は不当性なしと判断していても、本人は不当であるとクレームを申し立ててくることは十分に想定されます。
ちなみに、個人情報保護法ガイドライン(通則編)では、「『違法又は不当な行為』とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、及び直ちに違法とはいえないものの、法(個人情報の保護に関する法律)その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為」と解説していますが、やはり明確な基準とは言い難いところがあります。
結局のところ、自らの胸に手を当てて、自らの個人情報をそのように使われることで不快に思うか、使用態様を周囲の人に尋ね周囲の人たちはどのように反応するのかを探りながら、判断するほかないかもしれません。
・第三者提供の制限(第27条)
取得した個人情報を解析・分析した上で、他の事業者に販売するというビジネスモデルは容易に思いつくものですが、個人情報保護法では、当該情報(厳密には個人データ)を第三者に提供することは禁止、例外的に本人が同意している場合、その他法令に定めがある場合に限り第三者提供可能という定め方をしています。
現場実務的には、①第三者提供を予定しているのであれば、どのような方法で本人からの同意を取り付けるのか(あるいはオプトアウトを利用するのか)、②第三者提供に該当しない場面を定める第27条第5項(例えば業務委託など)に該当するのか、が重要な検討事項となります。
なお、提供元では個人データに該当しない場合であっても、提供先で個人データに該当する場合、提供元は提供先に対し、本人より同意を取得しているか確認する必要があるというルールが新たに定められました(第31条、個人関連情報に関する規制)。いわゆるリクナビ事件を受けて新たに設けられた条項となりますが、提供元にとっては個人データではないから個人情報保護法違反には当たらないという意識を改める必要があること、提供先においては第三者より同意取得する必要があることから、かなり現場実務では厄介なルールとなり得ることに注意が必要です。
2.令和4年(2022年)4月に改正されたポイント
上記1.で一部触れているのですが、令和4年(2022年)4月に新たに導入された主なルールは次の通りです。
(1)取得時に関して
特になし
(2)保有時に関して
・安全管理措置の公表義務(第23条及び第32条)
・保有個人データの利用停止、消去、第三者提供の停止請求の要件緩和(第35条)
・漏洩事故発生時の個人情報保護委員会への報告及び本人への通知義務化(第26条)
※「保有個人データの利用停止、消去、第三者提供の停止請求の要件緩和」ですが、本人からの利用停止等の請求は、改正前は第18条から第20条違反の場合のみに限定されていました。ところが改正法では、保有個人データを利用する必要がなくなったとき、漏洩事故等が生じた場合、本人の権利又は正当な利益が害される恐れがある場合も利用停止等の請求が可能となりました。
(3)利用時に関して
・違法又は不当な行為を助長する等の不適切な方法による個人情報利用の禁止(第19条)
・オプトアウト規制の強化(第27条第2項から同条第4項)
・仮名加工情報の利用(第41条及び第42条)
・個人関連情報の第三者提供制限(第31条)
・外国にある第三者への個人データ提供に関する規制強化(第28条)
※仮名加工情報とは、法が定める措置を講じることで、他の情報と照合しない限り特定の個人を識別することができない情報のことを指し、これにより事業者内部での目的外利用を可能にする制度となります。
3.個人情報が漏洩したことによる不利益とは
個人情報の漏洩事故は頻繁にニュース等で報道されるため、漏洩事業者がどのような事態に追い込まれるのかはある程度認知されているかと思われますが、改めて整理すると次のような不利益を考える必要があります。
(1)民事上の不利益
情報漏洩を原因とした、本人からの損害賠償請求(プライバシー侵害等)への対応が悩ましいこととなります。
ところで、現場実務では、1人当たり数百円程度の商品券等を配布することで対処しようとすることが多いかと思います。たしかに1人当たりで換算すれば僅かな金額ですが、漏洩の可能性のある本人全員に配布した場合、事業者の負担は相当なものとなります(例えば、1人当たり500円のクオカードを配布したとしても、配布人数が10万人である場合、事業者の負担は5000万円となります)。
事業者負担を考えた場合、何らかの損害保険に加入しておくことが望ましいといえるかもしれません。
なお、個人情報漏洩を原因とした裁判例を検討する限り、本記事執筆時点(2022年8月)では、高くても1人当たり慰謝料3万円以内のようです。
(2)刑事上の不利益
個人情報保護法に違反したことを理由として、直ちに刑事罰が科せられるわけではありません。個人情報保護法に違反することにつき、個人情報保護委員会により改善命令等を受けているにもかかわらず、事業者が適切な措置を講じなかった場合に刑事罰が科せられることになります。
ちなみに、この刑事罰ですが、令和4年(2022年)改正により、厳罰化されています。
ところで、世間一般で誤解があるようなのですが、プライバシー侵害罪という刑事罰は存在しません。民事上と刑事上では検討対象が異なることに注意が必要です。
(3)行政上の不利益
個人情報保護委員会からの改善命令等に従わなかった場合、個人情報保護委員会は事業者の名称を公表することができるとされています。
違反事業者として公表された場合、それだけでも不名誉なことなのですが、派生して後述(4)のような世間からの信用失墜や風評被害等の不利益を受けることになります。
(4)その他不利益(自社が被る損失等)
個人情報漏洩が発生した場合、とにもかくにもこれ以上の漏洩が発生しないよう直ちに対処すると共に、再度情報漏洩事故が発生しないよう必要な対策を講じる必要があります。これにより、原因検証費用、応急対応費用、システムの改善費用(場合によってはシステム入替費用)等の負担が生じることになります。
また、本人からの問い合わせ等の対応コストも検討する必要があります。場合によっては鳴り止まない電話に従業員総出で対応する事態ともなりかねず、業務遅滞や業務効率の低下を招きかねません。なお、外部のコールセンター等に対応窓口を設置する場合、当然のことながら委託費用を負担する必要があります。
さらに、上記(3)でも記載した通り、信用低下による間接損害も覚悟する必要があります。顧客離れを起こしたり、コンプライアンスを重視する取引先と契約を打ち切られたり、従業員の士気低下や退職者の発生など、様々な悪影響が生じえます。こうした具体的な数字では示しづらい負担も覚悟する必要があります。
4.情報漏洩対策のポイント
上記3.で記載した通り、情報漏洩により被る不利益は多種多様なところに波及する恐れが大きいことから、事前の情報漏洩対策が重要な課題となります。
ただ残念ながら、いくら事前の情報漏洩対策を行っていたとしても、100%防止することは不可能と考えられます。そして、改正法により報告・通知義務が課せられたことを考慮すると、情報漏洩事故が発生した場合の報告・通知義務を履行するための準備も重要な対策となり得ます(信用失墜等の不利益を食い止めるという観点から)。
したがって、本記事では、一般的な事前予防策と、報告・通知義務対応のための準備策の2つの視点で整理します。
(1)事前予防策
個人情報保護法ガイドライン(通則編)にある「講ずべき安全管理措置の内容」の記述を参照することが有用ですが、予防策に留まらない記述も多く含まれています。
予防策だけに絞って検討したいのであれば、例えば、経済産業省が公表している「秘密情報の保護ハンドブック」に記載されている予防策を参照するのも一案かもしれません。例えば、従業員等に向けた対策として、次のような分類を行った上で、詳細な具体例を記述しています。
- 「接近の制御」に資する対策
- 「持出し困難化」に資する対策
- 「視認性の確保」に資する対策
- 「秘密情報に対する認識向上(不正行為者の言い逃れの排除)」に資する対策
- 「信頼関係の維持・向上等」に資する対策
(参考)
秘密情報の保護ハンドブック~企業価値向上にむけて~(令和4年5月改訂版)
(2) 報告・通知義務対応の準備
前述1.(2) 「漏洩事故等が発生した場合の報告義務など(第26条)」でも記載した通り、一定の要件を満たす情報漏洩事案が発生した場合、事業者は個人情報保護委員会に対し、「概要」、「漏えい等が発生し、又は発生したおそれがある個人データの項目」、「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」、「原因」、「二次被害又はそのおそれの有無及びその内容」、「本人への対応の実施状況」、「公表の実施状況」、「再発防止のための措置」、「その他参考となる事項」を報告する義務が課せられています。
これらの報告義務を履行しようとするのであれば、次のような事前準備が必要と考えられます。
・業務フローの整備
漏洩事故を認識した従業員は誰に対して報告するべきか、報告を受けた責任者はどのような対応を行うべきかをマニュアル化する。また、例えば原因調査などは社内リソースで対応できない可能性が高いことから、調査会社等の専門家のリストアップを行っておく。
・ログの取得と保管
漏洩等の有無を判断する手掛かりとなる証拠となるため、アクセスログやシステムログ等は常時取得し保管するように対処する。なお、ログを調査することで第三者への漏洩が発生していないことの裏付けを取れる場合、情報漏洩事案として処理する必要はないが、ログを残していない場合、情報漏洩の恐れがあったものとして取扱うことになる。
・委託先との契約内容の確認
個人データの管理等を外部業者に委託している場合、委託契約において、①委託先において情報漏洩又はその恐れが生じた場合に委託元へ報告する義務を課すこと、②委託元からの調査要請に基づく情報提供等の協力義務を課すこと、③漏洩事故が発生した場合の調査費用や復旧費用などの費用負担ルールを定めること、が必要となる。
ところで、令和4年(2022年)4月の改正法により、情報漏洩事故が発生した場合、本人は保有個人データの利用停止等の請求ができるようになりました(上記2.(2)参照)。
したがって、漏洩事故が発生し、世間一般に公表される事態となった場合、本人からの利用停止等の請求があった場合の対処法についても事前に準備しておく必要があります。
<2022年8月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。
|
|
弁護士 湯原伸一
