1.事案の概要
1か月以上たっても公表・通知などを実施していない?
「プレジデントオンライン」サイトの7月13日付の記事「人材派遣のアスカが最大3万件の個人情報を流出」などによると、人材派遣業の株式会社アスカは、自社システムに仮登録されていた派遣社員の個人情報が最大3万件分が本年5月中旬にサイバー攻撃により漏洩したにもかかわらず、1か月以上経過しても公表、被害者本人への連絡などを行っていないそうです(7月16日現在)。
取材に対して、アスカ側は「調査を行っている途中」などと回答しているそうですが、1か月以上も個人情報の大規模な漏洩事故があったのに公表などを行わないことは法的に許されるのかが問題となります。
・人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず|プレジデントオンライン
2.法的に考えてみる
(1)労働者派遣法
労働者派遣法24条の3は、派遣元事業者の個人情報保護について規定しています。そして、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号・平成30年厚生労働省告示第427号)の「11 個人情報等の保護」は、個人情報の収集、利用、保管、安全管理などともに、「(3)個人情報の保護に関する法律の遵守等」において、個人情報保護法「第4章第1節に規定する義務を遵守しなければならない」と規定しています。
(2)個人情報保護法
個人情報保護法第4章第1節は、個人情報を取り扱う事業者の義務を定めていますが、同法20条から22条までは、事業者の安全管理措置、従業員への監督、委託先への監督を規定しています。そして、個人情報保護委員会の個人情報保護法ガイドライン(通則編)は安全管理措置について規定しています。その上で、同委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データの漏洩などの事故が発生した場合の対応についてつぎのように規定しています。
■個人データ漏洩事故が発覚した場合の対応(概要)このように個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データ漏洩事故が発生した場合には「速やかに」、⑤本人に連絡し、⑥事実関係などを自社サイトや記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告することを事業者に求めています。
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、「速やかに」本人へ連絡し、又は本人が容易に知り得る状態に置く。
⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、「速やかに」公表する。
⑦個人情報保護委員会または監督官庁への報告
扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに」報告する
ここで、「速やかに」の文言の意味が問題となりますが、多くの業法・行政法規が個人情報漏洩事故が発生した場合に、その発覚から1か月以内の報告を求めていることとの整合性から、少なくとも1か月以内に⑤本人に連絡し、⑥記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告しないと、事業者は同委員会の通達の趣旨に違反していることになると思われます(例えば保険業法127条など)。当該事業者は、個人情報保護法の趣旨に違反しているおそれがあることになります。
そもそも、このように個人情報漏洩事故が発生した場合にスピード感をもった本人への連絡や公表、監督官庁などへの報告の対応を事業者に法令が求めて趣旨・目的は、「二次被害の防止、類似事案の発生の防止」です。つまり例えば、顧客の個人情報が拡散してしまうことやクレジットカード情報などが第三者に利用されてしまうリスクの防止や、同じ業界で類似のサイバー犯罪が行われてしまうようなリスクの防止です。そうすると、個人情報漏洩事故が発覚したのに漫然と事業者が何週間も、あるいは何か月も対応を行わないことは、個人情報保護法の趣旨にも反しますし、顧客の信頼を裏切ることにもなります。
もし事業者が事実確認などに何週間もかかってしまうということになったら、当該事業者は「第一報」や「暫定版」などの連絡・報告・公表などを随時行うべきです(段階的な報告)。
こう考えると、個人情報漏洩事故が発覚してから1か月以上も顧客への連絡などを行っていない株式会社アスカは、個人情報保護法に違反しているおそれがあります。
(なお、EUのGDPR(一般データ保護規則)33条は、個人データ漏洩事故が発覚した事業者に対して72時間以内の個人データ保護当局への報告を義務付けています。EU国籍の顧客の個人データなどを取扱っている事業者はより迅速な対応が求められます。)
(3)個人情報保護法上の違反があった場合
上でみたように、労働者派遣法23条の3などは派遣元事業者に対して個人情報保護法上の事業者の義務を遵守することを求めています。
そして、同法などの違反があった場合について、労働者派遣法50条、51条は厚労大臣は派遣元事業者に対して報告徴求と立入検査を行う権限があることを定めています。さらに同法48条、49条は、厚労大臣は派遣元事業者に対して、指導・助言および改善命令・業務停止命令などを発出する権限があることを規定しています。 また、個人情報保護法も、同法40条以下において個人情報保護委員会は事業者に対して報告徴求、立入検査を行う権限があり、また個人情報保護に関して指導・助言を行う権限があることを規定しています。
(4)まとめ
つまり、個人情報漏洩事故を起こし、漫然と顧客への連絡や事実の公表などを1か月以上実施していない株式会社アスカは、監督官庁である厚労省だけでなく個人情報保護委員会から報告徴求、指導・助言などの行政指導等を受ける行政上の法的リスクが存在することになります。
(5)個人情報漏洩の場合の対応の法的義務化
なお、7月15日付の日経新聞によると、政府は2022年にも一定規模以上の個人情報漏洩事故が発生した場合に、事業者に対して顧客への連絡・通知を行うことを義務付ける方針であるとのことです(日経新聞「サイバー被害、全員に通知 個人情報漏洩で企業に義務」2020年7月15日付)。
■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・小向太郎・石井夏生利『概説GDPR』106頁