個人情報が漏洩した際の通知義務について

2022年4月より施行される改正個人情報保護法によって情報漏洩した場合の通知義務を怠った場合など、最大一億円の罰金となります。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

なお通知義務について、個人情報保護委員会では以下のような議論がされております。

改正法に関連する政令・規則等の整備に向けた論点について
(漏えい等報告及び本人通知)

  • 漏えい等の「おそれ」がある事態についても、漏えい等報告・本人通知の対象としてはどうか
  • 漏えい等の報告の期限については、速報確報の二段階とした上で、それぞれ定めるものとしてはどうか。
  • 事実関係の把握に通常要する時間を考慮した上で、一定の時間的制限(これまでの報告実績も踏まえ、例えば30日)を設けてはどうか。また、漏えい等の類型も考慮し、不正の目的をもって行われた行為による漏えい等については、他の事案よりも時間的猶予を認め、 例えば60日としてはどうか

他方、GDPRの場合は原則として侵害に気づいた時から72 時間以内に所轄監督機関に対し通知が必要です。日本の場合でもEU域内から十分性認定により移転を受けた個人データの取扱いがあるグローバル企業は、補完的ルールの適用がされるため、同等の扱いとなります。

これらのことから初動対応で被害状況をある程度明らかにできるように、SIEMEDRなどの導入、および初動対応だけでは被害状況や被害経路が判然としない場合に備え、デジタル・フォレンジックが必要となります。

なおNISCの見解ですが、漏えい後その先にあるダークウェブから、例えばサイバー攻撃により不正に入手された個人データ を取得するような場合、それが不正な手段によらない個人情報の取得といえるか(個情法第 17 条第 1 項)など、情報の取得が適法かどうか、さらに、そのように取得された情報をも とに脅威情報の提供などを受けることに問題はないか等を個別の事例に即して慎重に検討する必要があります。つまり司法判断に依る模様です。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター