個人情報保護委員会

1.森永乳業で12万件の個人情報流出事故が発覚
毎日新聞などによると、森永乳業は5月9日、同社の健康食品通販サイトで、クレジットカードや銀行振り込みなどで商品を購入した、最大約12万人分のカード情報や個人情報が流出した恐れがあると発表しました。カード会社からサイトの複数の利用者に不正使用の被害が生じていると連絡を受けてこの個人情報流出事故が発覚したそうです。

・健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ|森永乳業

・森永乳業 顧客情報流出の恐れ 通販サイト 最大12万人|毎日新聞

2.個人情報保護委員会の個人データ漏えい事案発生時の対応に関する告示
個人情報保護委員会が平成28年に制定した、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン(通則編)」という)の「4 漏えい等の事案が発生した場合等の対応」は、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」と規定しており、それを受けて、同委員会は平成29年に告示「個人データの漏えい等の事案が発生した場合等の対応について」を策定しました(以下「個人データ漏えい事案発生時の対応に関する告示」とする)。

・個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)|個人情報保護委員会

この「個人データ漏えい事案発生時の対応に関する告示」は、個人情報流出事故が発覚した場合の民間企業等がとるべき対応をつぎのように規定しています。

①事業者内部における報告及び被害の拡大防止のための措置の実施
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び速やかな実施
⑤影響を受ける可能性のある本人への連絡
⑥事実関係及び再発防止策等の公表
⑦個人情報保護委員会や監督官庁への速やかな報告

3.個人情報保護委員会や監督官庁への速やかな報告
⑦の、「個人情報保護委員会や監督官庁への速やかな報告」については、個人情報保護法改正前の金融庁や総務省の個人情報ガイドラインが監督官庁に「直ちに」報告することを規定していたため、個人情報漏洩事故が発生した企業は、迅速な報告が求められます。そのため金融業界などは、②の事実関係の調査及び原因究明である程度の事実が判明した段階で、監督官庁には第一報を報告すべきです。

なお、EU一般データ保護規則(GDPR)33条は、個人情報流出事故が発生してから72時間以内に監督官庁に報告することを要求しています。例えば欧州のユーザーにスマホアプリなどを提供している事業者などは、迅速な対応が要求されます。

また、不正アクセスなどが原因の場合は、警察への報告も必要です。

4.事実関係及び再発防止策等の公表
⑥の「事実関係及び再発防止策等の公表」については、できれば経営陣が公表したくないと悩むところでしょう。しかし、「ガイドライン(通則)」が、「二次被害の防止、類似事案の発生防止等」の観点から上の①から⑦までの対応を求めていることを考えると、やはり個人情報流出事故により、顧客に二次被害の発生するおそれがあったり、類似の個人情報流出事故の発生のおそれがあるような場合は、事業者は速やかに記者会見やウェブサイトへのプレスリリースの掲載などの公表を実施すべきです。

今回の雪印乳業の事案のように、すでにクレジットカード情報が流出し、その不正利用が発生している状況では、さらなる二次被害を防止するため、公表はやむを得ないでしょう。

5.報告を要しない場合
なお、「個人データ漏えい事案発生時の対応に関する告示」は後半で、例外として「報告を要しない場合」をいくつか列挙しています。

ただし、たとえば「漏えい等事案に係る個人データについて高度な暗号化等の秘匿化がされている場合」という規定について、個人情報保護法ガイドラインQ&Aをみると、「適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていること」(Q&A12-10)と解説されており、必ずしも公表しなくてよいハードルが下がったとはいえないように思われます。

・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A|個人情報保護委員会

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・竹内朗・鶴巻暁など『個人情報流出対応における実践的リスクマネジメント』17頁、19頁

個人情報保護法〔第3版〕

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))