営業秘密官民フォーラムメールマガジン掲載コラム 第62回
個人データを含む営業秘密が漏えいしてしまった場合の個人情報保護法上の対応
弁護士知財ネット
弁護士・ニューヨーク州弁護士 大石 裕太
PDF版ダウンロード:[営業秘密官民フォーラムメールマガジン掲載コラム] 第62回 個人データを含む営業秘密が漏えいしてしまった場合の個人情報保護法上の対応
1.はじめに
顧客データをはじめとする個人データ[1]の活用は近年ますます重要視されており、多くの企業や国などがその活用の途を検討しています。最近では、例えば総務省が、郵便局の持つ顧客データを新たなサービスの提供に活用できないか検討しており、令和3年10月15日に、同データ活用の留意点を議論する第1回有識者会議が開催されました[2]。このような顧客データの有する重要性も踏まえ、企業内では、個人データにアクセスできる従業員を限定し、営業秘密であることを明示するなどの方法によって、同データを同社の「営業秘密」として管理する例も少なくありません[3]。
同時に、個人データの取扱いには留意が必要であり、個人情報取扱事業者は、取り扱う個人データの安全管理のために必要かつ適切な措置等を講じなければなりません[4]。しかしながら、従業員が顧客名簿を社外に持ち出すような事例[5]を始め、個人データが不幸にも外部に漏えい[6]してしまう事例は多数存在します。この場合、個人情報取扱事業者は、個人情報保護法及び告示等を踏まえ適切な対応をしなければなりません。
そして、告示では、漏えいの内容等について「速やかに」個人情報保護委員会等[7]への報告をするよう努めること、及び「速やかに」本人へ連絡することが望ましいことが定められており、実際に漏えい事案が発生した場合には、迅速な対応が求められます。したがって、各企業において、漏えいが発生してしまった場合に迅速な対応ができるように、必要な対応のフレームワークを認識しておくことが、コンプライアンス及び危機管理の観点から重要です。
そこで、以下では、漏えい時の対応に関する現行法のフレームワークを簡単にご紹介したいと思います。また、令和4年4月1日より令和2年改正個人情報保護法が施行され、一定の漏えい等が発生した場合、個人情報保護委員会への報告及び本人への通知が明確に法的な義務とされましたので、その概略についても併せてご説明します。
2.現行の個人情報保護法のフレームワーク
(1)個人情報保護法及び告示
現行の個人情報保護法自体には、個人データの漏えいが生じた場合に、何らかの具体的な対応を行うべきことを定めた規定はありません。もっとも、同法及びそのガイドラインを受けた告示では、個人データの漏えい等[8]が生じた場合には、速やかに個人情報保護委員会等に報告するよう努めることとされており、また以下の事項について必要な措置を講ずることが望ましいとされています。
- 内部報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 影響を受ける可能性のある本人への連絡等
- 事実関係及び再発防止策等の公表
以上の報告や措置は法的義務として規定されているわけではないと考えられ、懈怠の場合の罰則等を明示的に定める規定もありません。ただし、これらを怠ったことで、安全管理のために必要かつ適切な措置[9]を講じていない、又は従業員に対する必要かつ適切な監督[10]が行われていないなどと評価される場合には、個人情報保護法に定める法的な義務違反となり、個人情報保護委員会により報告や立入検査を求められたり[11]、指導を受けたり[12]、ひいては勧告や措置命令を受けるおそれ[13]があります[14]。したがって、企業においては、漏えい等が生じた場合、安全管理措置や適切な監督が十全に行われているかも含め検討し、採るべき対応を決定する必要があります。
なお、告示では、同委員会への報告が不要である例として、実質的に個人データ等が外部に漏えいしていないと判断される場合や、FAX若しくはメールの誤送信又は誤配のうち軽微なものが生じた場合が挙げられています。前者の具体例としては、漏えいした個人データに高度な暗号化がなされている場合や、第三者によって閲覧されないうちに全てを回収できたケースが、後者の具体例としては、誤送信等につき個人データとして宛名及び送信者名のみが含まれるケースが挙げられています。
(2)個人情報保護法委員会への報告
漏えい時の個人情報保護委員会への報告について、同委員会はウェブサイト上[15]で報告様式を公表しており、ウェブフォームからの報告を求めています。報告が求められる事項としては、大要、以下のとおりです。
- 事案の概要
- 発生事実(漏えいか毀損か)
- 漏えいした個人データの内容
- 本人の数
- 発生原因
- 二次被害の有無
- 公表の予定の有無
- 本人への対応の有無
- 再発防止策
これらの報告事項のうち、特に再発防止策については、法的義務である安全管理義務とも密接に関連しますので、今後同種の漏えいを防ぐために十分といえるか内容を綿密に検討することが実務上重要と考えられます。
なお、近年ではクラウドサービス等が発達しており、企業が個人データをベンダーのクラウド上に保存し効率的に活用するなど、その保存や取扱いを外部業者に委託する例も多くあります。この場合、委託元ではなく委託先で漏えい等が生じてしまったときでも、原則として、委託元が個人情報保護委員会への報告をするよう努めるべき旨の個人情報保護委員会の見解が示されています[16]。
(3)特定の場合に求められる対応
以上に関わらず、マイナンバーを含む個人情報[17]が漏えいしてしまった場合又はそのおそれがある場合には、マイナンバー法、同ガイドライン及び同告示に従った対応を行う必要があります。特に、「重大な事態」が現に発生した場合には、個人情報保護委員会への報告が法律上の義務とされていますので、ご留意ください[18]。
また、特定の分野の事業者向けに、追加的な漏えいに関するガイドライン等が定められている場合もあります。したがって、各企業において、自らの業種に関して特定分野のガイドライン等が公表されていないか確認することも重要です。特定分野のガイドライン等のうち、特に注意を要するものの例としては、以下のものが挙げられます。
このガイドライン及び実務指針は、金融庁が所管する分野の事業者(例えば銀行や保険会社)に対して適用されます。同実務指針では、漏えい等が発生した場合[21]には、監督当局への報告等、本人への通知等及び再発防止策等の早急な公表を実施しなければならないと義務的に規定されていることに、注意が必要です。
- 信用分野における個人情報保護に関するガイドライン[22]
このガイドラインは、経済産業省が所管する分野のうち、物品又は役務の取引にかかる信用供与に関する分野の事業者(例えばクレジットカード会社)に適用されることとなります。同ガイドラインでは、要配慮個人情報等のセンシティブな個人データや、クレジットカード番号等の、漏えいした場合に二次被害が発生する可能性の高い個人データ等が漏えいした場合、又は漏えいの規模が大きい場合や漏えいが頻発する場合には、漏えい等の事故を速やかに経済産業大臣(及び認定個人情報保護団体)に報告しなければならないとされていることに注意が必要です。
- 債権管理回収業分野における個人情報保護に関するガイドライン[23]
このガイドラインは、法務省が所轄する分野のうち債権管理回収業分野の事業者(例えばサービサー)に適用されることとなります。同ガイドラインでは、二次被害防止策を速やかに実施すること、法違反又は法違反のおそれが発覚した場合には速やかに法務大臣等に報告すること、告示上報告を要しない軽微な場合でも報告することとすることを定めています。なお、これらの定めについては、法の課す義務ではなく、従わない場合でも法違反と判断されることはないものの、積極的な取組に努めることを求める努力規定であると説明されています。
- 電気通信事業分野(電気通信事業法)
電気通信事業分野では特別なガイドライン[24]がありますが、特に注意を要する点としては、電気通信事業法28条で、通信の秘密の漏えいその他総務省令で定める重大な事故が生じたときに、遅滞なく総務大臣に報告しなければならないとされていることが挙げられます。
3.令和2年改正施行後のフレームワーク
以上のとおり、現行の個人情報保護法自体には、個人データの漏えい等が生じた場合でも、個人情報保護委員会への報告や本人への通知が法的義務として明文で規定されているわけではありません。しかしながら、令和4年4月1日に施行される改正法では、「個人の権利利益を害するおそれが大きいものとして」規則で定める漏えい等が生じた場合、個人委員会への報告及び本人への通知等が法的義務とされます[25]。そして、規則で定める漏えい等は、以下の漏えい等が発生した(又はそのおそれがある)場合とされています[26]。
- 要配慮個人情報が含まれる個人データの漏えい等(例えば、従業員の健康診断の結果を含む個人データが漏えいした場合)
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(例えば、ECサイトからクレジットカード番号を含む個人データが漏えいした場合)
- 不正の目的をもって行われたおそれのある個人データの漏えい等(例えば、不正アクセスにより個人データが漏えいした場合や、従業員が顧客の個人データを持ち出して第三者に提供した場合。)
- 個人データに係る本人の数が千人を超える漏えい等
これらのいずれかに該当する場合には、個人情報取扱事業者は、事態を認識してから速やかに、個人情報保護委員会に対して、次に掲げる事項のうち報告時点で把握している内容を報告しなければなりません[27](いわば、速報をすることとなります。)。
- 概要
- 漏えい等が発生し、又は発生したおそれがある個人データの項目
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
この速報は、改正後の個人情報保護法についてのガイドライン(通則編)[28]によると、「当該事態を知った時点から概ね3~5日以内」とされており、漏えい等が生じた場合には、初動を迅速に行う必要があります。もっとも、速報時点での報告内容については、その時点で把握している内容を報告すれば足りるともされています。
その後、事態を知った日から30日以内[29]に、以上の事項を全て網羅した確報をしなければなりません[30]。ただし、上述のガイドラインでは、合理的努力を尽くした上で、なお一部の事項が判明しない場合には、当該時点で把握している内容を報告し、その後判明し次第、報告を追完するものとすると定めています。
また、上述の場合には、個人情報保護委員会への報告に加えて、本人への通知も義務付けられます[31]。この通知は、明確な期限が定められているわけではありませんが、規則上、「当該事態の状況に応じて速やかに」行うべきものとされています[32]。通知すべき事項については、上述の報告とは異なり、「概要」、「個人データの項目」、「原因」、「二次被害又はそのおそれの有無及びその内容」及び「その他参考となる事項」に限られています[33]。ここで、「その他参考となる事項」の外延がやや不明確ですが、本人への通知の趣旨が本人の権利利益を保護するためのものだとすれば、そのために知らせる必要のある事項のうち通知事項とされていないものと考えることもできそうです。なお、上述のガイドラインにおいては、例として、「本人が自らの権利利益を保護するために取り得る措置」が挙げられています。
なお、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときには、このような通知は不要とされています[34]。この例としては、上述のガイドライン上、保有する個人データ中に本人の連絡先がない場合に、事案の公表を行うことなどが挙げられています。
この報告義務や通知等の義務に違反した場合には、個人情報保護法に定める法的な義務違反となり、個人情報保護委員会により報告や立入検査を求められたり[35]、指導を受けたり[36]、ひいては勧告や措置命令を受けるおそれ[37]があります[38]。
4.おわりに
以上、漏えいが発生した場合に、企業の対応に係る法的なフレームワークを簡単にご紹介いたしました。この法的なフレームワークを踏まえて、社内で漏えい対応マニュアルを策定し、有事の場合に迅速に対応することが求められます。特に、改正法の施行(令和4年4月1日)後は、一定の場合には個人保護法委員会への報告や本人への通知が義務付けられることとなり、また前者のタイムフレームが比較的明確に定められていますので、迅速な対応を行う必要性が高まっており、そのような観点からも適切な社内体制の構築は大切です。
なお、以上はあくまで一般的な法的フレームワークのご説明に留まるものです。分量の関係上これまで述べることができなかった点に関しても、具体的な事実関係に応じて個別に検討すべき可能性もありますので、漏えい等やそのおそれが発生したときには、早急に専門家に相談することをお勧めいたします。
以上
[1] 個人情報に係るデータベースなどを構成する個人情報をいいます。
[2] https://www.soumu.go.jp/main_sosiki/kenkyu/postaldata_privacy/ryutsu14_01.html参照
[3] なお、顧客名簿などの情報が不正競争防止法上の「営業秘密」に該当するかどうかについては、別のコラム(https://iplaw-net.com/tradesecret-mailmagazine-column/tradesecret_vol_58.html)をご参照ください。
[4] 個人情報の保護に関する法律(「個人情報保護法」といいます。)20条
[5] 例えば、委託先の従業員が顧客データを漏えい(販売)した事例として、株式会社ベネッセコーポレーションの事例(平成26年9月25日付け公表の調査結果に係る件)などがあります。
[6] なお、現行の個人情報保護法では「漏えい」の定義は明確にはされていないものの、令和2年個人情報保護法改正後の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、「漏えい」とは個人データが外部に流出することをいうとされています。
[7] 報告は原則として個人情報保護委員会に対して行いますが、認定個人情報保護団体の対象事業者である場合には、同団体に報告することとなります。また、個人情報保護委員会の権限が事務所管大臣に委任されている分野においては、告示とは別に公表される報告先に報告することが必要となります。
[8] 漏えい、滅失、毀損及びそれらのおそれ、並びに加工方法等情報の漏えい及びそのおそれをいいます。
[9] 個人情報保護法20条
[10] 個人情報保護法21条
[11] 個人情報保護法40条1項
[12] 個人情報保護法41条
[13] 個人情報保護法42条1項ないし3項
[14] なお、報告や検査を拒んだ場合等には、法人及びその使用者や従業員に50万円以下の罰金が課されます(個人情報保護法85条1号及び同87条2号)。また、措置命令に違反した場合には、法人につき1億円以下の罰金が課され(個人情報保護法87条1号及び83条)、その使用者や従業員に1年以下の懲役又は100万円以下の罰金が課されます(個人情報保護法83条)。
[15] https://www.ppc.go.jp/personalinfo/legal/leakAction/
[16] https://www.ppc.go.jp/personalinfo/faq/2009_APPI_QA/#q12-9。なお、令和4年4月1日から施行される改正法では、法26条1項但書及び規則9条で、委託先が委託元又は行政機関等に通知した場合には個人情報保護委員会への報告や本人への通知を免れることが規定されます。
[17] 行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「マイナンバー法」といいます。)2条8号で定義される「特定個人情報」を意味します。
[18] マイナンバー法29条の4。なお、「重大な事態」とは、一定の特定個人情報が漏えい等した場合や、100人を超える特定個人情報が漏えい等した場合、不正の目的をもって特定個人情報が利用又は提供された場合等とされています(特定個人情報の漏えいその他の特定個人情報の安全確保に係る重大な事態の報告に関する規則2条)。
[19] https://www.ppc.go.jp/files/pdf/kinyubunya_GL.pdf
[20] https://www.ppc.go.jp/files/pdf/zitsumushishin.pdf
[21] ただし、事業者自身の雇用管理情報及び株主情報に関しては除外されています。
[22] https://www.ppc.go.jp/files/pdf/shinyou_GL.pdf
[23] https://www.ppc.go.jp/files/pdf/saikenkaisyu_GL.pdf
[24] https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html
[25] 改正個人情報保護法26条。なお、条文番号も改正により変更があり、改正法の説明で言及する条文番号は、校了日(令和3年11月14日)現在で判明している、令和4年4月1日時点における番号です。
[26] 改正個人情報保護法施行規則7条。なお、高度な暗号化等、個人の権利利益を保護するために必要な措置を講じた個人データが流出した場合は、対象となりません。
[27] 改正個人情報保護法施行規則8条1項
[28] https://www.ppc.go.jp/files/pdf/211029_guidelines01.pdf
[29] ③不正の目的をもって行われたおそれのある個人データの漏えい等の場合には、60日以内とされています。
[30] 改正個人情報保護法施行規則8条2項
[31] 改正個人情報保護法26条2項本文
[32] 改正個人情報保護法施行規則10条
[33] 改正個人情報保護法施行規則10条及びガイドライン(通則編)
[34] 改正個人情報保護法26条2項但書
[35] 改正個人情報保護法143条1項
[36] 改正個人情報保護法144条
[37] 改正個人情報保護法145条1項ないし3項
[38] なお、報告や検査を拒んだ場合等には、法人及びその使用者や従業員に50万円以下の罰金が課されます(改正個人情報保護法177条1号及び同179条2号)。また、措置命令に違反した場合には、法人につき1億円以下の罰金が課され(改正個人情報保護法179条1号)、その使用者や従業員に1年以下の懲役又は100万円以下の罰金が課されます(改正個人情報保護法173条)。