改正APPIによる報告義務の義務化
2022年4月施行の改正個人情報保護法(APPI)により、個人情報の漏洩等が発生した場合、個人情報保護委員会(PPC)への報告と本人への通知が義務化されました(APPI26条)。
改正前は努力義務でしたが、改正後は法的義務となり、違反には命令(APPI145条)→ 罰則(APPI173条: 1年以下の懲役または100万円以下の罰金)が適用されます。
報告義務が発生する「漏洩等」の種類
すべての漏洩が報告対象ではありません。以下の4類型が対象です(APPI施行規則第7条)。
| 類型 | 具体例 |
|---|---|
| 要配慮個人情報の漏洩 | 健康情報・犯罪履歴・障害情報等の漏洩 |
| 不正利益目的が疑われる漏洩 | 不正アクセス・内部不正による漏洩 |
| 不正アクセスによる漏洩 | サイバー攻撃・不正ログイン等 |
| 1,000件を超える漏洩 | 顧客データベースの大規模流出等 |
注意: 誤送信・紛失等でも上記4類型に該当すれば報告義務あり。
報告の期限と内容
速報(第一次報告)
漏洩等を知った時から速やか(個人情報保護委員会のガイドラインでは「おおむね3〜5日以内」)に速報を提出します。
速報の記載事項(最低限): - 事案の概要 - 漏洩した個人データの項目 - 漏洩件数の概算 - 事案発生の経緯(判明している範囲) - 現時点での対応状況
確報(最終報告)
速報から30日以内(不正アクセスによる場合は60日以内)に確報を提出します。
確報の記載事項: - 漏洩等が発生した日時・発見した日時 - 漏洩した個人データの項目・件数(確定値) - 漏洩の原因 - 二次被害の有無・防止措置 - 本人への通知の状況 - 再発防止措置
本人への通知義務
漏洩等が発生した場合、本人への通知も原則義務です(APPI26条2項)。
通知方法: 個別通知(メール・書面等)が原則。
本人通知が困難な場合の代替措置
以下の場合は通知に代えてウェブサイト掲示等の措置が認められます。
- 本人の連絡先が不明な場合
- 通知が事案の調査に支障を生じさせる場合
代替措置の内容: ウェブサイト上での事案の公表・プレスリリース等
報告時のポイントと注意事項
漏洩件数が確定していない場合
速報の段階では件数が確定していなくても、概算・推定で報告可能です。確定後に確報で正確な数値を報告します。
委託先での漏洩
個人データを委託先が取り扱い中に漏洩が発生した場合も、委託元(個人情報取扱事業者)が報告義務を負います(APPI24条の委託先管理義務との関係)。
委託先からの速やかな報告受領体制の整備が必要です。
グループ会社間の漏洩
グループ企業内でも、別法人間での漏洩は報告対象となります。
社内対応フローの整備
報告義務への迅速な対応のため、以下の体制整備が推奨されます。
| 対応 | 内容 |
|---|---|
| インシデント対応規程の策定 | 発見→報告→対応のフロー明確化 |
| 報告窓口の設置 | 従業員が漏洩を報告しやすい体制 |
| 初動対応チームの設置 | セキュリティ・法務・経営陣の連携 |
| 証拠保全手順の策定 | ログの保存・改ざん防止 |
| 定期訓練の実施 | 年1回以上のインシデント対応訓練 |
まとめ
改正APPIにより個人情報漏洩の報告義務が法的に確立されました。速報は3〜5日、確報は30日(不正アクセスは60日)の期限があります。漏洩発生時に迅速に対応できるよう、事前にインシデント対応規程の整備と担当体制の確立が不可欠です。