（個人の権利利益を害するおそれが大きいもの）
第７条　法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一〜二　（略）
三　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四　（略）

（個人の権利利益を害するおそれが大きいもの）
第７条　法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一〜二　（略）
三　不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ（当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。）の漏えい等が発生し、又は発生したおそれがある事態
四　（略）

近年、ECサイトに対する攻撃の一類型である、いわゆるWebスキミングと呼ばれる手法により個人情報が流出するケースが発生しております。Webスキミングによる情報流出の中には、攻撃者によって個人情報取扱事業者であるECサイト事業者のウェブサイトに不正なスクリプトが埋め込まれた結果、当該ウェブサイトの利用者が自己の端末上で入力フォームに入力した個人情報が直接攻撃者に流出するケースがあります。 このような情報流出は、攻撃者が故意に個人情報を流出させているものであり、流出した個人情報の悪用による二次被害が発生するなど、個人の権利利益が害されるおそれが大きいことから、委員会が事態を把握する必要があると考えています。
他方で、今、申し上げたWebスキミング等によって引き起こされた情報流出をはじめとする、個人情報データベース等を構成する前の、すなわち個人データとなる前の個人情報の流出は、現行の施行規則第7条で規定する漏えい等の報告及び本人通知の対象となる事態には該当しないと考えられます。
そこで、資料1-2のとおり、施行規則第7条第3号を改正し、不正な目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による漏えい等に関しては、個人データのみならず、当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものについても、漏えい等の報告及び本人通知の対象事態にすることとしております。

法26条1項本文は、事業者が「取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態」（以下「記述1」といいます。）であって、「個人の権利利益を害するおそれが大きいもの」（以下「記述2」といいます。）の具体化を個人情報保護委員会規則に委任しているところ、記述2は文言上記述1を限定する要素として位置付けられています。このような理解は、規則7条柱書が「法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは…」としていることからも、適切なものと考えられます。そうすると、受任規定において、記述1に当たらない事態を規定することはできないと考えられます。

本規則案第6条の2の「漏えい等」の具体例等については、ガイドライン等でお示しすることを検討してまいりますが、漏えい等に該当するかどうかは、サイバー攻撃の手法ではなく、個人データに着目して判断されることとなります。

サイバーセキュリティ基本法第2条にいう「サイバーセキュリティ」の定義（Q1参照）には、情報の安全管理のための措置をとり、それが適切に維持管理されていることが含まれており、その点では個情法に基づく個人データの安全管理措置義務と法文上類似する。 ただし、サイバーセキュリティは、個人データに限らず、不正競争防止法（平成5年法律第47号）にいう営業秘密や価値あるデータ（限定提供データ）など、「情報」を全般的に対象とするものである。また、サイバーセキュリティの定義には、情報の安全管理のみならず、情報システム及び情報通信ネットワークの安全性・信頼性も明示的に定義に含んでいる点で、個情法に基づく個人データの安全管理措置義務とは異なるといえる。

15. What should be clear is that a breach is a type of security incident. However, as indicated by Article 4(12), the GDPR only applies where there is a breach of personal data. The consequence of such a breach is that the controller will be unable to ensure compliance with the principles relating to the processing of personal data as outlined in Article 5 GDPR.
This highlights the difference between a security incident and a personal data breach–in essence, whilst all personal data breaches are security incidents, not all security incidents are necessarily personal data breaches*16. （セキュリティインシデント∋データブリーチ）

*16 It should be noted that a security incident is not limited to threat models where an attack is made on an organisation from an external source, but includes incidents from internal processing that breach security principles.

【個人データに該当しない事例】
事例） 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報

Q. 個人情報データベース等に入力する前の帳票類であれば、個人情報データベース等に該当しませんか。
A. 個人情報データベース等に入力する前の帳票等であっても、それに記載された個人情報を50音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合には、それ自体が個人情報データベース等に該当します。

法第26条第1項本文は、「その取り扱う…個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの」を報告対象事態として定めることを施行規則に委任しているところ、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」が「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為」により漏えい等した場合、当該個人情報取扱事業者が取り扱う個人データの安全の確保に係る事態が生じており、かつ、本人の権利利益に対する影響が大きいと考えられることから、法の委任の範囲内と考えます。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損（以下「漏えい等」という。）の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
なお、「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。

Art. 5 GDPR Principles relating to processing of personal data
1. Personal data shall be:
 f. processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

Art. 32 GDPR Security of processing
1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
(a) the pseudonymisation and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

御指摘の箇所は、このような従前からの解釈を明確化したものですので、本ガイドライン案の改正案の施行前であっても、「その他の個人データの安全管理のために必要かつ適切な措置」として、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置を講じる必要があります。

Q. 「情報システムの使用に伴う漏えい等の防止」を講じるための手法は、ガイドライン（通則編）で示されている以外にどのようなものが考えられますか。
A. ガイドライン（通則編）に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
○盗聴される可能性のあるネットワーク（例えば、インターネットや無線LAN等）による個人データの送信（例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等）時における、個人データの暗号化等の秘匿化（例えば、SSL/TLS、S/MIME等）
○個人データを取り扱う情報システムの動作確認を行う際に、テストデータとして個人データを利用することを禁止したり、動作確認に影響のない範囲で、個人データの一部を他のデータに置き換える等、テストデータとして利用する個人データを必要最小限とすること。
○個人データを取り扱う情報システムの変更時に、当該変更によって情報システム又は運用環境のセキュリティが損なわれないことを検証すること
○個人データを取り扱う情報システムの使用状況の定期的な監視