ブログ/ BLOG

  1. ホーム
  2. ブログ
  3. IT企業法務
  4. 2024年4月1日改正個情法規則の施行で生じるプライバシーポリシーへの影響|知的財産・IT・AIの法…

IT企業法務

2024年4月1日改正個情法規則の施行で生じるプライバシーポリシーへの影響

アバター画像 杉浦健二

個人情報保護法施行規則(以下「個情法規則」)の改正により、2024年4月1日以降、一定の漏えい等発生時に義務づけられている、個人情報保護委員会への報告と本人への通知(あわせて以下「報告等」)の対象が、「個人データ」から「一部の個人情報」まで拡大されます。
この個情法規則改正によって、プライバシーポリシーなど、事業者に生じる影響を説明します。

現行法は「個人データ」の漏えい等を規制対象としている

現行の個人情報保護法(個情法)が一定の場合に報告等を義務づけているのは、「個人情報」ではなく一定の「個人データ」の漏えい等1「漏えい等」とは、漏えい、滅失若しくは毀損を指します(規則第7条1号)。です。
前提として、個人情報と個人データの違いを整理します。セミナー会場で来場者に配る紙アンケートを例にすると、氏名等を含むアンケート用紙に記入された情報が「個人情報」(法2条1項)、アンケート用紙の記入情報をもとに作成したデータベース(スプレッドシート等)が「個人情報データベース等」2個人情報データベース等とは、個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものや、個人情報を含む情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものを指します(法16条1項、政令4条2項。一定の例外あり(政令4条1項))、このデータベースを構成する個々のレコードが「個人データ」にあたります3個人データとは、個人情報データベース等を構成する個人情報を指します(法16条3項1項)

個人情報保護法において、対象が「個人情報」であるか「個人データ」であるかは大きな意味を持ちます。以下の表記載のとおり、個人情報と個人データ、いずれについても利用目的規制はあるものの(法17条~法21条)、個人データの場合は、第三者提供時に原則として本人同意取得を要し(法27条法28条)、一定の漏えい等発生時には報告等をする義務や(法26条)、安全管理措置を講じる義務がある(法23条)のに対し、個人情報の場合は、これらの義務を負いません4他にも内容の正確性確保や消去の努力義務(法22条)、従業者の監督義務(法24条)、委託先の監督義務(法25条)なども、個人データに関する規制であって個人情報に関する規制ではありません。

取り扱う情報の対象が個人情報か個人データかで、個人情報保護法に基づいて事業者が負う義務は大きく異なっています。

漏えい等発生時に報告等を要する4つのケース

次に個情法は、個人データの漏えい等が発生したあらゆる場合に報告等を要するとしているのではなく、個人データの漏えい等のうち、以下の4つのケースに限って報告等を義務づけています(法26条、規則7条各号)5高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データの漏えい等は除かれています(規則7条1号)。なお漏えい等が実際に発生した場合のみならず、発生したおそれがある事態が生じた場合にも報告等をする義務があります(規則7条各号)

(1) 要配慮個人情報が含まれる個人データの漏えい等(例:従業員の健康診断等の結果を含む個人データの漏えい等)
(2) 不正利用により財産的被害が生じるおそれがある個人データの漏えい等(例:クレジットカード番号を含む個人データの漏えい等)
(3) 不正目的をもって行われたおそれがある個人データの漏えい等(例:不正アクセスによる個人データの漏えい等)
(4) 本人の数が1,000人を超える漏えい等

今回の個情法規則改正の主眼は「ウェブスキミング対策」

ここまでが現行の個情法規則の説明で、ここからが2024年4月1日に施行される、改正個情法規則の説明です。
今回の個情法規則改正は、ウェブスキミング対策が念頭に置かれたものです6個人情報保護委員会第253回、第255回議事資料を参照。。ウェブスキミングとは、ECサイトなどに不正プログラムを設置することで、ユーザーが入力フォーム等に入力したパスワードやクレジットカード情報などを盗み出す攻撃手法のことを指します。
ウェブスキミングの場合、ユーザーが入力した情報が、ECサイト事業者のサーバを介さず、攻撃者に直接に窃取されるので、「個人データ」になる前の「個人情報」が窃取されていることになります。

「ウェブスキミング」初摘発 ECサイトでカード情報盗む(日本経済新聞2023年11月15日)より引用

現行個情法規則では、「個人データ」の漏えい等のみを報告等の対象としているため、ウェブスキミングによる被害が発生したとしても、ECサイト事業者は報告等をする義務がありませんでした。ウェブスキミングについて報告等の対象とするためには、ECサイト事業者のサーバに入って個人データとなる前の段階である、入力フォームから入力された情報(個人情報)の漏えい等まで対象を拡大する必要があります。以上の経緯でなされたのが、今回の個情法規則改正という位置づけになります。

改正された個情法規則の内容

一定の「個人情報」の漏えい等も、報告等の義務対象となる

改正個情法規則では、第7条3号が以下のように改正され、不正の目的をもって行われたおそれがある一定の「個人情報」の漏えい等について、報告等の対象に含まれることとなりました(改正箇所は太字)。

改正個情法規則 現行個情法規則
第7条
法第 26 条第 1 項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
(略)
(3) 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
第7条
法第 26 条第 1 項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
(略)
(3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

 

すなわち、個人データのみならず、事業者が個人データとして取り扱うことを予定している個人情報(個人情報取扱事業者が取得し、又は取得しようとしている個人情報)について、不正目的をもって行われたおそれがある当該事業者に対する行為(不正アクセス等)による漏えい等が発生した場合は、個情委への報告や本人への通知が必要となります。

安全管理措置の対象も拡大された(ガイドライン通則編が改正)

また事業者が講ずべき安全管理措置についても、事業者が個人データとして取り扱うことを予定している個人情報(個人情報取扱事業者が取得し、又は取得しようとしている個人情報)の漏えい等を防止するために必要かつ適切な措置まで拡大されることになりました(個情法ガイドライン通則編3-4-2。加筆箇所は太字)。

改正個情法ガイドライン通則編3-4-2 現行個情法ガイドライン通則編3-4-2
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
なお、「その他の個人データの安全管理のために必要かつ適切な措置」 には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。

 

以上をまとめたのが以下の表です。

改正個情法規則の施行により生じる影響

今回の改正個情法規則は2024年4月1日に施行されるところ、事業者には以下の影響が生じることを把握しておく必要があります。

プライバシーポリシーの改訂

保有個人データの安全管理措置については、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(法32条1項4号)。
改正個情法規則の施行後は、保有個人データの安全管理措置のみならず、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取り扱うことを予定しているものの漏えい等を防止するために講じた措置も含まれることになります(改正GL通則編3-8-1)。
保有個人データとして取り扱うことを予定している個人情報の漏えい等を防止するために講じた措置としては、一定のウェブスキミング対策が考えられます。

これまで保有個人データの安全管理措置をプライバシーポリシーに記載することで「本人の知り得る状態」にしていた事業者においては、上記の「一定の個人情報を含む新たな安全管理措置」についてもプライバシーポリシーに加筆することが基本的な対応になるでしょう。
これに対し、保有個人データの安全管理措置について、本人の求めに応じて遅滞なく回答する方針をとっていた事業者は、本人の求めがあった場合に、保有個人データ及び一定の個人情報の安全管理措置について遅滞なく回答する義務が生じることになります。

個人情報保護管理規程の改訂と社内周知(名刺の盗難も対象に・・)

一定の個人情報の漏えい等についても個情委への報告及び本人へ通知する義務が生じることになった点については、個人情報保護管理規程を含む社内規程へも反映しておく必要があります。

ここで重要なのは、新たに報告等の対象となった不正目的をもって行われたおそれがある行為による個人情報の漏えいは、ウェブスキミングに限らないことです。
たとえば、名刺管理ソフトに取り込むことを予定している名刺が入った鞄を盗難されたような場合も、今回の改正個情法規則によれば、個情委への報告や本人への通知が必要となります。この場合における名刺は「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」(改正個情法規則7条3号)にあたるためです。
このような帰結が実社会において妥当なのか(受け取った名刺が盗難にあった場合に、名刺交換相手の方々に個別に通知までする法律上の義務までを負わせることが妥当なのか)は個人的には疑問の余地もありますが7法26条はあくまで「個人データ」の漏えい等を規律しているのであり、規則でこれを一定の個人情報の漏えい等にまで拡大することは、法の委任の範囲を超えるのではないかとの意見がパブリックコメントで複数出ています(パブリックコメントNo.5,23等)。、少なくとも個情委はこのような場合も個情委への報告及び本人への通知の義務対象になるとの見解を明らかにしているため8パブリックコメントNo.20「例えば、名刺を定期的に名刺管理ソフトで管理している者が、名刺管理ソフトに登録する前の名刺を鞄の中に入れていたところ、鞄ごと盗まれてしまったというようなケースにも適用されるのか。セミナー、パーティ等で多数の方と名刺交換していた場合、相手の連絡先を記憶しておくことも難しく、本人通知も困難であるが、代替措置として事案の公表等を行わなければならないとするのも非常に煩雑である。」に対する回答として「個別の事案に応じて判断する必要がありますが、通常、名刺管理ソフトが個人情報データベース等に該当する場合、名刺管理ソフトに登録する予定の名刺上の個人情報は「個人データとして取り扱われることが予定されているもの」に該当し、個人情報取扱事業者の従業員が当該名刺を窃取された場合は、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による」漏えいに該当すると考えられます。」、これを前提とした社内規程の改訂及び従業員への周知徹底が必要になると整理しておく必要があります。(弁護士杉浦健二

  • 1
    「漏えい等」とは、漏えい、滅失若しくは毀損を指します(規則第7条1号)。
  • 2
    個人情報データベース等とは、個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものや、個人情報を含む情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものを指します(法16条1項、政令4条2項。一定の例外あり(政令4条1項))
  • 3
    個人データとは、個人情報データベース等を構成する個人情報を指します(法16条3項1項)
  • 4
    他にも内容の正確性確保や消去の努力義務(法22条)、従業者の監督義務(法24条)、委託先の監督義務(法25条)なども、個人データに関する規制であって個人情報に関する規制ではありません。
  • 5
    高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データの漏えい等は除かれています(規則7条1号)。なお漏えい等が実際に発生した場合のみならず、発生したおそれがある事態が生じた場合にも報告等をする義務があります(規則7条各号)
  • 6
    個人情報保護委員会第253回、第255回議事資料を参照。
  • 7
    法26条はあくまで「個人データ」の漏えい等を規律しているのであり、規則でこれを一定の個人情報の漏えい等にまで拡大することは、法の委任の範囲を超えるのではないかとの意見がパブリックコメントで複数出ています(パブリックコメントNo.5,23等)。
  • 8
    パブリックコメントNo.20「例えば、名刺を定期的に名刺管理ソフトで管理している者が、名刺管理ソフトに登録する前の名刺を鞄の中に入れていたところ、鞄ごと盗まれてしまったというようなケースにも適用されるのか。セミナー、パーティ等で多数の方と名刺交換していた場合、相手の連絡先を記憶しておくことも難しく、本人通知も困難であるが、代替措置として事案の公表等を行わなければならないとするのも非常に煩雑である。」に対する回答として「個別の事案に応じて判断する必要がありますが、通常、名刺管理ソフトが個人情報データベース等に該当する場合、名刺管理ソフトに登録する予定の名刺上の個人情報は「個人データとして取り扱われることが予定されているもの」に該当し、個人情報取扱事業者の従業員が当該名刺を窃取された場合は、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による」漏えいに該当すると考えられます。」

STORIA法律事務所へのお問い合わせはこちらのお問い合わせフォームからお願いします。