当社の運営するECサイトのシステムから情報漏えい事故が起きてしまいました。何をどうしたらよいのでしょうか。

まずは、何の情報がどのような原因で漏えいしたのか調査すべきです。その結果により、サービス中断等の対応要否、個人情報保護委員会への報告の要否、ユーザーへの通知の要否等が決まってきます。

１　個人情報の漏えい等が生じた場合の事業者の義務

　事業者は、その取り扱う①「個人データ」について、②「漏えい等」（漏えい、滅失、毀損等。以下同じ。）が生じた場合であって、当該漏えい等が③「個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの」に該当する場合には、当該事業者は、個人情報保護委員会への報告義務や本人（個人情報の主体）への通知義務を負います（個人情報保護法26条1項、2項）。
　自身が運営するウェブサイト等から情報漏えい事故が発生した場合、事業者としては、上記のような報告・通知対応が必要であるかどうかについて、各要件に照らして判断する必要があります。
　以下、各要件について解説します。
　※各要件の詳細については、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」が参考になります。https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

２　漏えい等が問題となる「個人データ」とは

　前記のとおり、個人情報保護法上は「個人データ」が漏えい等した場合に、事業者に対し報告等の義務が生じます。
　「個人データ」とは、個人情報をデータベースとして体系的に構成した場合の当該構成要素の個人情報です（同法16条3項）。
　よって、仮に「個人情報」であっても、それが体系的にデータベースとして構成されていないものが漏えい等した場合であっても、同法における報告・通知義務の義務を負いません。
　これは、例えば、ファイリングや管理ソフト等により体系的に整理されていない名刺1枚を落とした場合等が考えられます。
　また、そもそも漏えい等が生じた情報が「個人情報」といえるかという点も検討する必要があります。
　「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）又は個人識別符号が含まれるものをいいます（個人情報保護法2条1項）。
　例えば、個人の電話番号という情報だけでは、（他の情報と容易に照合することにより特定の個人を識別することができるケースを除いて）通常、特定の個人を識別できませんので、「個人情報」、ひいては「個人データ」の漏えい等には該当しないと考えられます。

３　「漏えい等」とは

　漏えい等とは、前記のとおり、主に「漏えい」、「滅失」、「毀損」のことをいいます。それぞれの行為は、前記ガイドラインにおいてさらに以下のとおり説明されています。

①　「漏えい」とは、個人データが外部に流出することをいい、例えば、個人データが記載された書類を第三者に誤送付した場合、システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合等をいいます。

②　「滅失」とは、個人データの内容が失われることをいい、個人データが印字された帳票等を誤って廃棄した場合や、個人データが記載又は記録された書類・媒体等を社内で紛失した場合をいいます。
　ただし、この場合も、その内容と同じデータが他に保管されている場合や、また、個人情報取扱事業者が合理的な理由により個人データを削除する場合は滅失に該当しないと考えられています。

③　「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます。例えば、個人データの内容が改ざんされた場合や、ランサムウェア等により個人データが暗号化され、復元できなくなった場合等をいいます。

４　「個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの」とは

　仮に「個人データ」が漏えいしたとしても、上記個人情報保護委員会への報告（同法26条1項）や本人への通知（同条2項）義務を負うのは、「個人の権利利益を害するおそれが大きいもの」に限られています（同条1項）。

　この「個人の権利利益を害するおそれが大きいもの」とは、大別して以下の4種類が決められています（個人情報保護法施行規則7条）。

①　要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
　ここでいう「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものをいいます（同法2条3項）。

②　不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
　ここでいう「不正に利用されることにより財産的被害が生じるおそれがある個人データ」とは、典型的には、クレジットカード番号が考えられます。

③　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
　ここでいう「不正の目的をもって行われたおそれがある」とは、例えば、不正アクセスにより個人データが漏えいした場合や、ランサムウェア等により個人データが暗号化され、復元できなくなった場合等が考えられます。なお、当該「不正の目的をもって」漏えいを発生させた主体には、第三者のみならず、従業者も含まれるため、「従業者が顧客の個人データを不正に持ち出して第三者に提供した場合」も、本号に該当する可能性があります。

④　個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
　ここでいう「個人データに係る本人の数」とは、当該個人情報取扱事業者が取り扱う個人データのうち、漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数をいいます。

　また、①～④いずれについても、「発生したおそれがある事態」でも報告等の対象となるため、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合も、報告等義務の対象となります。

５　報告・通知義務を負う場合の対応

　以上の検討を踏まえ、報告の対象となる漏えい等が生じたと考えられる場合には、個人情報保護委員会に対し、以下の項目について報告（発覚日から3～5日以内の速報、30日※以内の確報）することが必要となります（個人情報保護法施行規則8条）。
※前記③に規定する場合には60日以内とされています。
※個人情報保護委員会ウェブサイト：https://www.ppc.go.jp/personalinfo/legal/leakAction/　参照。

　したがって、個人データの漏えいの発生が疑われる場合には、いち早く事案の内容を把握し、まずは発覚日から3～5日以内の速報を報告する必要があるかどうかを見極める必要があります。
　なお、個人データの取扱いを委託している場合においては、原則として委託元と委託先の双方が報告する義務を負いますが（個人情報保護法26条1項本文）、委託元及び委託先の連名で報告することができるとされています（前記ガイドライン）。ただし、委託先は、報告義務を負っている委託元に当該事態が発生したことを通知したときは、報告義務が免除されます（個人情報保護法26条1項ただし書き）。
　近年は、クラウドサービスを利用して個人データを管理している場合等、個人データの取扱いの委託先から漏えい等するケースも散見されますが、その場合には、誰がどのような名義・内容で報告するかも速やかに検討する必要があります。

2024年1月24日