2022年の個人情報保護法の改正により、一定の個人情報漏えい事案については個人情報保護委員会への報告と本人への通知が義務化されました。
これは個人情報取扱事業者に課せられた義務なので、大企業だけでなく小規模事業者や個人事業主にも適用されるルールです。
当時は法改正に伴うパンフレットも作られ、広い範囲で広報された筈なのですが、個人情報を扱う現場でも周知が進んでいません。
通知が必要となるのは、主に以下の4つのケースです。
- 要配慮個人情報が漏えいした場合
(例:健康情報、病歴、障害、宗教、犯罪歴などの情報) - 財産的被害のおそれがある情報が漏えいした場合
(例:クレジットカード番号を含む個人情報の漏えい、決済機能を持つECサイトのID・パスワードの漏えい) - 不正の目的をもって行われた漏えいなどが発生した場合
(例:不正アクセスによる情報漏えい、個人データが記録された書類・媒体などの盗難) - 1,000人を超える個人情報が漏えいした場合
(例:予約システム、顧客管理システムから情報が流出した大規模インシデント)
昨今では中小企業でも外部から不正にアクセスされ、データが窃取されるという事態は数多く報告されていますが、このような場合は漏えいした件数に関わらず、その旨を本人へ通知しなければなりません。
また、漏えいなどが発生した場合は本人への通知が義務付けられているのですが、本人への通知が困難な場合はホームページや新聞など、本人に通知するための代替措置を講じなくてはなりません。
本人への通知義務を守らない事業者が多く事に加え、報道機関も法改正を知らないのか、情報漏洩が発生したことは取り上げても、その事業者が通知義務を守らないことを報じるニュースは見たことがありません。
このため、あまり重大なことと捉えていない方も多いようですが、個人情報を一件でも扱う個人情報取扱事業者は全てこの規定が適用されます。
情報を守ることだけでなく、漏えいした場合にどのような対応をとるのかということも事前に想定することが必要です。
みちのくIT経営支援センター 理事 清野浩司