全体の目次
個人情報の保護に関する法律についてのガイドライン(通則編)
3 個人情報取扱事業者等の義務
> 3-5 個人データの漏えい等の報告等(法第26条関係)
> 3-5-3 個人情報保護委員会への報告(法第26条第1項関係)
> 3-5-3-1 報告対象となる事態
報告対象となる事態
個人情報取扱事業者は、個人データの漏えい等(漏えい、滅失、毀損、その他)の「報告対象事態(下記①~④)」が生じたとき(知ったとき)は、個人情報保護委員会に報告しなければならない
「報告対象事態」とは?
個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める下記の①~④
(※)下記すべて、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く
委託元への通知による例外
ただし、漏洩した個人情報取扱事業者が、他の事業者(または行政機関等)から漏洩した個人データの取扱いの委託を受けている場合で、個人情報保護委員会規則に従い、事態が生じたことを委託元に通知したときは、報告義務の対象ではない報告対象事態に該当しない漏えい等事案について
報告対象事態に該当しない漏えい等事案であっても、個人情報取扱事業者は個人情報保護委員会に任意の報告をすることができる。報告対象事態における「おそれ」について
その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになる 漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する報告対象事態
-
報告を要する事例
- 例)病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 例)従業員の健康診断等の結果を含む個人データが漏えいした場合
-
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(漏えい、滅失、毀損)が発生、または、発生したおそれがある事態
(※)財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断する
-
報告を要する事例
- 例)ECサイトからクレジットカード番号を含む個人データが漏えいした場合
- 例)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
-
③ 不正の目的をもって行われたおそれがある漏えい等(漏えい、滅失、毀損)が発生、または、発生したおそれがある事態
(※)「不正の目的をもって」漏えい等を発生させた主体には、第三者のみならず、従業者も含まれる
-
報告を要する事例
-
事例1)不正アクセスにより個人データが漏えいした場合(※3)
-
事例2)ランサムウェア等により個人データが暗号化され、復元できなくなった場合
-
事例3)個人データが記載又は記録された書類・媒体等が盗難された場合
-
事例4)従業者が顧客の個人データを不正に持ち出して第三者に提供した場合(※4)
(※3)サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、次の(ア)から(エ)が考えられる。
- (ア)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合
- (イ)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合
- (ウ)マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDN(Fully Qualified Domain Name の略。サブドメイン名及びドメイン名からなる文字列であり、ネットワーク上のコンピュータ(サーバ等)を特定するもの。)への通信が確認された場合
- (エ)不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合
(※4)従業者による個人データの持ち出しの事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
-
-
④ 個人データに係る本人の数が千人を超える漏えい等(漏えい、滅失、毀損)が発生、または、発生したおそれがある事態
-
「個人データに係る本人の数」とは?
取り扱う個人データのうち、漏えい等が発生、または、発生したおそれがある個人データに係る本人の数をいう。
事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で「報告対象事態」に該当することになる。本人の数が確定できない漏えい等において、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、「報告対象事態」に該当する。
-
-
報告を要する事例
- 事例)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合