前回コラムからの進展
前回のコラムで、2025年1月22日に開催された第312回個人情報保護委員会の資料1-1「個人情報保護法 いわゆる3年ごと見直しに係る検討」 の今後の検討の進め方について(案)」を基に、中間整理後に出た新たな論点について記載をしました。
その中で、「本人への通知が行われなくても個人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方」については改めて取り上げる旨を記載しましたが、2月5日に開催された第314回個人情報保護委員会において、追加の言及がありました。
本コラムでは、この最新の議論を整理するとともに、現行の個人情報保護法における制度およびGDPR(EU一般データ保護規則)との比較を通じて、改正の方向性を考察します。
本人通知義務の見直しとは?
2月5日に開催された第314回個人情報保護委員会の資料1 個人情報保護法の制度的課題に対する考え方(案)についてにおいて、以下のような言及がありました。
現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合を除き、一律に本人への通知義務を負うこととなるが、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合 (注7)について、本人への通知義務を緩和し、代替措置による対応を認めることとしてはどうか。
注7:例えば、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが想定される。 具体的な対象範囲はステークホルダーの意見をよく聞きながら委員会規則等で定めることを想定している。
前回コラムから、次の3点が示された形となります。
- ● 本人の通知義務が不要な場合の代替措置を設けること
- ●「本人の権利利益の保護に欠けるおそれが少ない場合」の一つの具体例
- ● 委員会規則等で具体的な対象範囲を定める想定であること
この通り進むのであれば、最終的に委員会規則等を待つ形になりますが、そもそもこの論点が出てきた背景を含め、現行制度とGDPR(EU一般データ保護規則)の規定とを比較します。
現行の個人情報保護法とGDPRの比較
個人情報保護法における通知義務
現行法では、事故発生時の個人情報保護委員会への報告および本人への通知について、以下の通り定められています。
第26条1項
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
第26条2項
前項に規定する場合には、個人情報取扱事業者は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。
つまり、個人情報保護委員会規則の定める要件に該当すれば、個人情報保護委員会への報告および本人への通知の両方が求められる仕組みです。
“個人情報保護委員会規則の定めるもの”は、以下の4つとして、あらかじめ類型化されています。
- ① 要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損が発生し、
又は発生したおそれがある事態 - ② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、
又は発生したおそれがある事態 - ③ 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ
(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして
取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態 - ④ 個人データに係る本人の数が1,000人を超える漏えい等が発生し、
又は発生したおそれがある事態
GDPRにおける通知義務
GDPRでは第33条で監督機関への個人データ侵害の通知について、第34条でデータ主体への個人データ侵害の連絡について定めています。
第33条1項
個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
第34条1項
個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。
つまり、GDPRでは監督機関への通知と本人への連絡は、リスクに応じて行うことが規定されています。
ここでいうリスクの評価については、「個人データ侵害通知に関するガイドライン」「個人データ侵害通知の事例に関するガイドライン」により具体化されています。
「個人データ侵害通知に関するガイドライン」では”リスク評価に当たって考慮する要素”として次のものが挙げられています。
- ● 侵害の種類
(The type of breach) - ● 個人データの性質、機微性及び量
(The nature, sensitivity, and volume of personal data) - ● 個人の特定の容易性
(Ease of identification of individuals) - ● 個人にとっての結果の重大性
(Severity of consequences for individuals) - ● 個人の特別な特性
(Special characteristics of the individual) - ● データ管理者の特別な特性
(Special characteristics of the data controller) - ● 影響を受ける個人の数
(The number of affected individuals)
事例で考える通知義務の判断
前述のように、個人情報保護法では、監督機関(日本の場合は個人情報保護委員会)への報告と本人への通知がセットで、条件となる事故も類型化されています。
一方、GDPRでは「監督機関への通知」と「本人への連絡」の要件をリスクの大小によって分けている点が大きな特徴です。具体的には、なんらかのリスクがあると判断された場合は監督機関への通知のみ、さらに高いリスクとなる場合には本人への通知も必要、と段階的に区分されています。そしてその条件となるリスク判断は、”リスク評価に当たって考慮する要素”を考慮しての総合的な判断を行う必要があるということになります。
具体的な例を考えてみましょう。
例えば、事業者が個人の管理において氏名やメールアドレスの代わりにハッシュ化した管理IDを用いているケースを考えます。
この管理IDが漏えいした場合、個人情報保護法においてはいわゆる”漏えい元基準説”(漏えい元視点で容易照合性があるデータは個人データであると解釈する) という考え方が採用されており、個人データの漏えいと解釈されます。その上で、委員会規則で定める4類型に該当すれば、個人情報保護委員会への報告および本人への通知の対象となります。
一方GDPRにおいては、”リスク評価に当たって考慮する要素”のうちの、個人の特定の容易性の観点で判断すると、個人データをある特定の個人に照合するのが極めて困難な場合として、リスクが低いと評価する余地があります。そのような評価を下す場合、少なくとも本人への連絡は不要となります。
ただし、GDPRは総合的な判断が許されるからといって個人情報保護法より厳格ではないという訳ではありません。
侵害を監督機関や本人に通知する必要があるか否かにかかわらず管理者は全ての侵害を文書化したものを保管しなければならず、侵害を適切に文書化しない場合、監督機関は調査権限等を行使し、さらには制裁金を科すことにつながる可能性があることに留意する必要があります。
個人情報保護法の改正の方向性と影響
上述のように、現行の個人情報保護法とGDPRでは、監督機関や本人への通知に関する様々な違いがあります。その上で今回新たに出た改正の考え方においては、少なくとも本人への通知に関して、GDPRに近い方向性にしようとしているものと考えられます。
まず大前提として、”本人の権利利益の保護に欠けるおそれ”を本人への通知要否の条件にすること自体が、GDPRにおけるリスクベースでの考え方に近いものです。
また具体例として「サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合」が挙げられていることから、“漏えい元基準説”を採ることも辞める方向性と思われます。
なお、「委員会規則等で具体的な対象範囲を定める想定」とあり、文字通りこの方向となるのであれば、GDPRのように総合的な判断をするというよりは、現行法の類型化の延長線上で、本人通知が不要な類型を定めることとなるのかもしれません。
個人的には、類型化された方が事業者側の対応は分かりやすい一方、”本人の権利利益の保護に欠けるおそれが少ない”ものを類型化しきるのは難しいのではないかとも思います。
この点については、今後の委員会の検討状況を引き続き注視していきます。
最後に、”代替措置による対応”として考えられるのは”公表”になると思いますが、自社ウェブサイトに自ら公表するという方法の他、各社が自社ウェブサイトに公表するだけだと外部から見えにくいという考えのもと、個人情報保護委員会のウェブサイトに漏えい等の事例が公表されるという方法も検討されるかもしれません。
なお、GDPRは条文で侵害の文書化を求めていますが、日本の場合は既に「漏えい等報告フォーム」として文書化が求められているので実質的な変更はないでしょう。
まとめ
個人情報保護法改正の論点のうち、”本人への通知義務の緩和”について考察してきました。GDPRに近い形となることが想定されつつ、未だ検討段階ということで、前回のコラムから変わらず、本国会で改正法案の成立までたどり着けるのかは疑問が残ります。
引き続き動向を注視していきたいと思います。
弊社では、個人情報保護法やGDPRに限らず、個人情報利活用動向や海外法施行状況の共有など、お客様のニーズに合わせた様々なご要望に対し、「個人情報保護コンサルティング」のサービスにてご支援しております。情報収集の方法が分からない場合や、情報収集に割く工数が確保できない場合など、ご支援が必要な場合は是非弊社にご相談下さい。
