個人情報が漏洩した際の通知義務について

2022年4月より施行される改正個人情報保護法によって情報漏洩した場合の通知義務を怠った場合など、最大一億円の罰金となります。

令和2年改正個人情報保護法 政令・規則の概要

個人情報が漏洩した際の通知義務については不正アクセス等も該当します。事態の発生を認識した後、速やかに速報を行い60日以内に確報が必要です。
他方、GDPRの場合は原則として侵害に気づいた時から72 時間以内に所轄監督機関に対し通知が必要です。日本の場合でもEU域内から十分性認定により移転を受けた個人データの取扱いがあるグローバル企業は、補完的ルールの適用がされるため、同等の扱いとなります。

テーマ法改正の内容政令・規則案の内容
漏えい等報告・本人通知漏えい等が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人通知を義務化する報告対象:①要配慮個人情報、②財産的被害が発生するおそれがある場合、③不正アクセス等故意によるもの、④1,000人を超える漏えい等を報告対象とする
• 委員会への報告:速報と確報の二段階。事態の発生を認識した後、速やかに速報を求めるとともに、30日(上記③の場合は60日)以内に確報を求める
仮名加工情報「仮名加工情報」を創設し、内部分析等を条件に、利用目的の変更の制限等を緩和する加工基準:①氏名等の特定の個人を識別できる記述等、②個人識別符号、③財産的被害が生じるおそれのある記述等 の削除・置換を求める
個人関連情報提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の
確認を義務付ける
提供元における本人同意の確認方法:提供先から申告を受ける方法等とする
• 提供元における記録義務:①提供年月日、②第三者の氏名等、③個人関連情報の項目等を記録させ、原則3年の保存を求める
越境移転• 本人同意に基づく越境移転:同意の取得時に、本人への情報提供を求める
• 体制整備要件に基づく越境移転:移転先による個人データの適正な取扱いの継続的な確保のための「必要な措置」及び本人の求めに応じた情報提供を求める
同意取得時に本人に提供すべき情報:①移転先の所在国名、②適切かつ合理的な方法で確認された当該国の個人情報保護制度、③移転先が講ずる措置について情報提供を求める
• 移転元が講ずべき「必要な措置」:①移転先における個人データの取扱状況
及びそれに影響を及ぼしうる移転先の所在国の制度の有無の定期的な確認、
②適正な取扱いに問題が生じた場合の対応(適正な取扱いの継続的な確保
が困難な場合は個人データの提供を停止)を求める
法定公表事項(制度改正大綱に記載)公表事項:安全管理のために講じた措置を追加(ただし、公表により支障を及ぼすおそれがあるものを除外)

不正アクセスによる情報漏洩について

これらのことから初動対応で被害状況をある程度明らかにできるように、SIEMEDRなどの導入、および初動対応だけでは被害状況や被害経路が判然としない場合に備え、デジタル・フォレンジックが必要となります。

情報漏洩の調査にまつわる懸念事項

なおNISC 「サイバーセキュリティ関係法令 Q&A ハンドブック Ver1.0 Q69 情報の不正入手・漏えい」によれば、漏洩後その先にあるダークウェブから、例えばサイバー攻撃により不正に入手された個人データを取得するような場合、それが不正な手段によらない個人情報の取得といえるか(個情法第 17 条第 1 項)など、情報の取得が適法かどうか、さらに、そのように取得された情報をもとに脅威情報の提供などを受けることに問題はないか等を個別の事例に即して慎重に検討する必要があります。つまり司法判断に依る模様です。

ベンダーリスクマネジメントについて

委託先の業者が個人情報を漏洩した場合であっても報告義務が生じます。

例えば「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書」によれば以下のようなリスクが考えられます。

これを踏まえて予め委託先との契約書を見直すことも必要です。例えばIPA 「情報システム・モデル取引・契約書」第二版によると以下のような記載があります。

「政府機関の情報セキュリティ対策のための統一基準」(2005年12月版)においては、「外部委託を実施する際に、委託先に請け負わせる業務における情報セキュリティ対策、機密保持(情報の目的外利用の禁止を含む)、情報セキュリティ侵害発生時の対処手順及び情報セキュリティ対策の履行が不十分である場合の対処手順を含む外部委託に伴う契約を取り交わすこと」とし、また、「委託先がその請負内容の全部又は一部を第三者に再請負させることを禁止すること。但し、委託先からの申請を受け、再請負させることにより生ずる脅威に対して情報セキュリティが十分に確保できる措置が担保されると(中略)判断する場合は、その限りではない」としている。具体的な規定については、外部委託における情報セキュリティ対策実施規程雛形(2006年3月、内閣官房情報セキュリティセンター)を参照のこと。また、「政府機関等の情報セキュリティ対策のための統一基準」(平成30年度版)では、4.1 外部委託、5.2.1 情報システムの企画・要件定義 (3) 情報システムの構築を外部委託する場合の対策 において、より詳細化する形で改訂されている。(https://www.nisc.go.jp/active/general/kijun30.html)なお、「外部委託における情報セキュリティ対策実施規程雛形」は、その後何回か改訂され、最新版は2011年4月発行のものである。(https://www.nisc.go.jp/active/general/kijun_man_index.htm

情報システム・モデル取引・契約書 (4) モデル契約書の主要条項の論点整理

上記の「政府機関の情報セキュリティ対策のための統一基準」については「政府機関等のサイバーセキュリティ対策のための統一基準 令和3年度版」が公表されてますので、第4部 外部委託を参考に契約書を見直しすることをお勧めします。

(a) 職員等は、委託先への情報の提供等において、以下の事項を遵守すること。
(ア) 委託先に要保護情報を提供する場合は、提供する情報を必要最小限とし、あらかじめ定められた安全な受渡し方法により提供すること。
(イ) 提供した要保護情報が委託先において不要になった場合は、これを確実に返却又は抹消させること。
(ウ) 委託業務において、情報セキュリティインシデント、情報の目的外利用等を認知した場合は、速やかに情報システムセキュリティ責任者又は課室情報セキュリティ責任者に報告すること。

政府機関等のサイバーセキュリティ対策のための統一基準 令和3年度版 第4部 外部委託 4.1.1 業務委託 (4) 業務委託における情報の取扱い

また、委託先のサイバーセキュリティ対策や十分に理解できるような教育と、ベンダーリスクマネジメント(VRM)などを用いてルールが適切に守られる事まで目を配ることが必要です。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ