2022年2月14日

2022年4月1日より改正個人情報保護法が全面施行されます。
改正個人情報保護法では企業規模の大小に関わらず、情報漏洩発生時における報告・通知が義務化されます。報告内容は9項目が定められ、速報と確報が必要とされ、それぞれ報告期日が設けられています。

要点

1. これまで「努力義務」とされていた情報漏洩時の報告や通知が「義務化」される
2. 不正アクセスが疑われる場合、1件の漏洩でも報告・通知義務が発生する
3. 速報を5日以内、確報を30日以内（不正アクセスの場合は60日以内）に行う必要がある

報告・通知義務が発生する要件

下記のいずれかに該当する場合、個人情報委員会への報告、本人への通知義務が必要とされています。

1. 要配慮個人情報が含まれる場合
2. 漏洩した情報の不正利用より財産的被害が生じるおそれがある場合
3. 不正アクセス等、故意による場合（漏洩のおそれも含む）
4. 漏洩等の件数が1,000人を超える場合

【報告・通知義務が必要になる具体的な例】

• 通販サイトからクレジットカード番号を含む個人情報が漏えいした場合
• 送金や決済機能のあるサービスのログインID とパスワードの組み合わせを含む個人データが漏えいした場合
• 不正アクセスによりデータが漏えいした場合
• ランサムウェア等によりデータが暗号化され、復元できなくなった場合
• 不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、一定の根拠に基づき、情報漏洩の可能性について連絡を受けた場合

「情報漏洩等が発生したおそれがあるもの」も含まれるため、実際の漏洩有無に関わらず、報告・通知が必要となります
※高度な暗号化、その他の個人の権利利益を保護するために必要な措置を講じたものは除かれる、とされています。

報告義務の内容と期限

上記のような事象が発生した場合、「速報」と「確報」の２回、個人情報保護委員会への報告が義務化されます。

報告内容

1. 概要
2. 情報漏洩等が発生した、または、おそれのある個人データの項目（住所・氏名等）
3. 漏洩件数
4. 情報漏洩の原因
5. 二次被害、または、そのおそれの有無と内容
6. 本人への対応の実施状況
7. 公表の実施状況
8. 再発防止のための措置
9. その他参考となる事項

速報では、報告時点で把握している内容を、
確報では、上記の事項すべてを報告する義務が生じます。
※期日までに合理的努力を尽くしたうえで、一部の事項が判明しておらず、すべての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するよう求められています。

法定刑の引上げ（施行済み）

個人情報保護委員会からの指示に対する命令違反、虚偽報告等を行った際の罰則については、2020年12月12日に法定刑が引き上げられています。

弊社では不正アクセスによる情報漏洩が起きる前に、Webサイトのセキュリティについて、技術的な対策が適切に行われているか、今一度ご確認されることを推奨しております。

【関連記事】

• セキュリティ対策と高速表示を同時に実現する「Cloudflare」
• 中小企業企業が実施しておきたいセキュリティ対策
• 不正アクセスに備える「管理画面のアクセス制限」

引用・出典

令和２年 改正個人情報保護法について　https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
令和３年 改正個人情報保護法について（官民を通じた個人情報保護制度の見直し）　https://www.ppc.go.jp/personalinfo/minaoshi/
令和２年改正個人情報保護法 政令・規則の概要　https://www.ppc.go.jp/files/pdf/210324_seirei_kisoku_gaiyou.pdf
個人情報の保護に関する法律施行規則の一部を改正する規則 -個人情報保護委員会　https://www.ppc.go.jp/files/pdf/210324_sekoukisoku.pdf
改正個人情報保護法の一部施行に伴う法定刑の引上げについて　https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#houteikei