2023/11/28 医療法務
クリニックの法務と個人情報保護法その21:個人データに関する義務⑤
みなさん、こんにちは。
前回は、個人データに関する義務のうち、安全管理措置に関する義務の2番目・3番目として、従業員の監督(法24条)と、委託先の監督(法25条)について説明しました。
従業員の監督も委託先の監督も安全管理措置(法23条)の確認規定であり、従業員の監督については、教育研修を受講させたり、就業規則で個人情報に関する規定を定めるなどをすることが例示されていて、委託先の監督については、適切な委託先の選定、委託契約の締結、委託先における個人データの取り扱い状況の把握が例示されておりました(詳しくはこちら)。
今回は、安全管理措置に関する義務の4番目として、個人データ漏えいした場合について説明したいと思います。
3.安全管理措置に関する義務(法23~26条)
(4)漏えいの報告等(法26条)
ア 個人情報保護委員会への報告(法26条1項)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければなりません(法26条1項本文)。
(ア)報告対象事態
・個人情報保護委員会に報告をしなければならない「事態」(以下、「報告対象事態」といいます。)として、どのようなものがあるでしょうか。
ー個人情報保護委員会規則(以下、「委員会規則」といいます。)7条各号は、以下の報告対象事態を定めます(※):
※①~④は高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除きます(法26条1項かっこ書)。
①要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損(以下、「漏えい等」といいます)が発生し、又は発生したおそれがある事態(1号)
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(2号)
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(3号)
④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(4号)
具体例を挙げましょう。
・①の例:
ー電子カルテ(個人データベース等)の一部の患者さんのカルテの一部または全部(個人データ)が抜き取られて第三者に漏えいしてしまった場合(患者さんのカルテは病歴等が記載されていることが通常ですので「要配慮個人情報」が含まれます)。
・②の例:
ークレジットカード番号が漏えいされた場合。なお、クレジットカード番号のみの漏えいであり、暗証番号・セキュリティコードは漏えいしなかったとしても、これらが割り出されるおそれがはあるので該当します(※)。
※ただし、銀行口座情報(金融機関名、支店名、預金種別、口座番号、口座名義等)のみの漏えいは、該当しないとされます。
・③の例:
ー不正アクセス(サイバー攻撃)の場合。
ースタッフが、名簿業者に売るために、カルテの一部を抜き取った場合。
・④の例:
ー本人の数は確定できないが、漏えい等の発生したおそれがある個人データに係る本人の数が最大1000人を超える場合。
(イ)報告事項・報告期限・報告先
・報告対象事態が生じた場合、個人情報保護委員会に対し、「何を」、「いつまでに」報告すればよいでしょうか?
ー「何を」報告すべきか(報告事項)については、委員会規則8条1項各号に次の通り定められています:
❶概要(1号)
❷漏えい等が発生し、又は発生したおそれがある個人データの項目(2号)
❸漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数(3号)
❹原因(4号)
❺二次被害又はそのおそれの有無及びその内容(5号)
❻本人への対応の実施状況(6号)
❼公表の実施状況(7号)
❽再発防止のための措置(8号)
❾その他参考となる事項(9号)
ーいつまでに❶~❾の報告事項を報告するかについてですが、①~④の事態を知った後、「速やかに」報告しなければならず(「速報」といいます)(※)、さらに、「30日以内」(※※)(※※※)にも報告しなければなりません(「確報」といいます))(委員会規則8条1項2項)。
※報告をしようとする時点で把握しているものに限ります(委員会規則8条1項カッコ書)
※※知った時点1日目に参入して計算
※※※③の不正アクセス等故意によるもの(委員会規則7条3号)の場合は「60日以内」
ー報告先についてですが、直接、個人情報保護委員会に報告する場合(委員会規則8条3項1号)と、報告の受領権限を事業所管大臣に委任しうることから(法150条1項)、事業所管大臣に報告し、当該報告を受領した当該大臣が個人情報保護委員会に報告をする場合(委員会規則8条3項2号)があります。それぞれの報告方法については、委員会規則8条3項各号を参照ください。
(ウ)委託先における漏えい等
・では、他の個人情報取扱事業者又は行政機関等(委託元)から個人データの委託を受けた場合に、当該個人情報取扱事業者(委託先)において漏えい等が生じたときは、委託元及び委託先双方が個人情報保護委員会に報告をしなければならないでしょうか?
ー委託元も委託先も個人情報取扱事業者の場合、個人データに漏えい等が生じれば報告義務を負うのが原則です(法26条1項、委託元が行政機関等の場合は法68条)。しかし、委託元は、委託先から通知を受けない限り、通常は漏えい等の事実を知り得ません。また、報告内容も重複するはずです。ならば、委託先が委託元に報告事項を通知し、委託元において個人情報保護委員会に報告すれば足りるでしょう。
ーそこで、委託先において漏えい等が生じた場合は、委託先が報告対象事態(委員会規則7条各号)を知った後、速やかに、委託元に報告事項(委員会規則8条1項)を委託元に通知することを条件に、報告義務を免れると定められております(法26条1項ただし書、委員会規則9条)。
イ 本人への通知(法26条2項)
報告対象事態が生じた場合、個人情報取扱事業者(法26条1項ただし書の規定による通知をした者を除きます。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければなりません(法26条2項本文)。
・個人情報保護法の目的は何でしたでしょうか?そうです、個人情報保護法は、「個人情報の有用性」に配慮しつつ「個人の権利利益」を保護するために作られた法律でしたね(詳しくはこちら)。漏えい等の事実の前には、「個人情報の有用性」という利益も一歩後退せざるを得ません。逆に、「個人の権利利益」の保護を十分に行うべき場面です。
ーそこで、通知を受けた本人が漏えい等の事態を認識することによって、権利利益保護措置を自分で講じることができるようにしたのが、本条文の趣旨です。
・個人情報取扱事業者は、本人に対し通知をする場合には、報告対象事態(委員会規則7条各号)を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、報告対象事項(❶、❷、❹、❺及び❾)を通知しなければなりません(委員会規則10条)。
ー❸、❻、❼、❽が除外されたのは、権利利益保護措置を自分で講じることができるようにするという本人通知制度の趣旨との関係では希薄だからと考えられます。
ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、通知は不要です(法26条2項ただし書)。
・「困難な場合」とは、例えば、本人の連絡先が不明な場合、現在の転居先が不明な場合等です。
・「代わるべき措置」としては、例えば、当該個人情報取扱事業者がウェブページ上において漏えい等の事実を公表するとともに、本人による被害確認のための連絡先を記載するような場合が想定されます。
いかがでしたでしょうか。個人データに漏えい等が生じた場合、個人情報保護委員会への報告義務と、本人への通知義務があることをまずは理解しておきましょう。
次回は、個人データの安全管理措置に関する義務をもう一度簡単に振り返ったあと、義務に違反した場合の効果(責任)について述べて、安全管理措置関連の説明を終えたいと思います。
お楽しみに!