個人情報保護法:施行規則等の改正①不正行為による漏えい等の報告対象事項の拡大!?
本稿のねらい
(編集の都合上、①が②より後に公開となっている)
筆者は気付かなかったが、2023年9月14日、個人情報保護委員会が個人情報保護法施行規則等を改正する案(本改正案)についてパブコメを実施していた。
このパブコメの意見募集期間は2023年9月14日から同年10月13日までの1か月間とされており、したがって本稿執筆時点では既に意見を伝えることはできない。
それはともかく、本改正案は、大きく次の2つの内容を改正するものであり、本稿は特に1つ目について扱うものである。
昨今の個人情報漏えい等事案を踏まえ、個人情報保護法施行規則第7条第3号を一部改正(追記)し、それに伴い個人情報保護法ガイドライン(通則編)等も所要の改正を行う
個人情報保護法ガイドライン(外国にある第三者への提供編)に、事業者が保有する個人情報について政府による情報収集が可能となる制度(ガバメントアクセス)が、本人の権利利益に重大な影響を及ぼす可能性(個人情報保護法施行規則第17条第2項第2号関係)について事業者が判断するに当たっては、OECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」(2022年)を参照することが考えられる旨を追記する
昨今の個人情報漏えい等事案を踏まえ、個人情報の保護に関する法律施行規則(中略)第7条第3号を以下のとおり改正し、個人情報の保護に関する法律(中略)第26条に基づく、漏えい等報告及び本人通知の対象となる事態(以下「報告対象事態」という。)を追加することとしたい。
初見ではなんのことかわからないように思われるが、本改正案は、割りと従来の発想とは発想を大きく転換する内容である。
本稿では、現行の個人情報保護法第26条第1項、同法施行規則第7条第3号(規則第7条第3号)の整理を概観し、本改正案の内容について紹介する。
現行の規則第7条第3号
まず、現行の個人情報保護法においては、例の令和2年の個人情報保護法改正により、一定の個人データの漏えい等については、個人情報保護委員会その他所管省庁への報告や本人への通知を行うことが必要となった(同法第26条第1項・第2項)。
(漏えい等の報告等)
第26条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
これを受けて、現行の個人情報保護法施行規則第7条は次のとおり、大きく4つの類型を「個人の権利利益を害するおそれが大きいものとして」定めている。
要配慮個人情報を含む個人データの漏えい等
不正に利用されることで財産的被害が生じるおそれがある個人データの漏えい等
不正の目的をもって行われたおそれがある個人データの漏えい等
1000人を超える個人データの漏えい等
(個人の権利利益を害するおそれが大きいもの)
第7条 法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
二 (略)
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 (略)
本改正案に関係するのは、この3つ目、つまり規則第7条第3号であるが、そのほかに、個人情報保護法施行規則第7条第1号中に定義が置かれている「漏えい等」の考え方も調整が入るようである。
そこで、以下では、①「漏えい等」の考え方、②「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」(不正行為等による漏えい等)の2点について簡単におさらいする。
(1) 「漏えい等」の考え方
個人情報保護法施行規則第7条第1号にもあるように、「漏えい等」とは、個人データの漏えい・滅失・毀損の3つの総称である。
本改正案との関係で重要なのは「漏えい」であることから、「漏えい」について簡単に説明する。
個人情報保護法の世界における個人データの「漏えい」とは、個人情報取扱事業者の管理下にあった個人データ(※)が、当該事業者の意思に基づかずに、又は当該事業者が適法性の根拠を備えずに、当該事業者の管理外(外部)に流出することを意味する(ガイドライン通則編3-5-1-1(56-57頁)参照)。
※ 「個人データ」の定義は「個人情報データベース等を構成する個人情報」(個人情報保護法第16条第3項)であり、また「個人情報取扱事業者」の定義は「個人情報データベース等を事業の用に供している者」(同条第2項)であることから、単に「個人データの流出」といえば、当然、個人情報取扱事業者が管理している個人情報データベース等の一部を構成する個人データが流出したのであると読めるのだが、一般には分かりづらいと思われる上、本改正案に直接関係するため、あえて補足している。
個人データの「漏えい」に該当する例として、現行のガイドライン通則編3-5-1-1(56頁)では、5つ挙げられている。
<例>個人データの漏えいに該当する事例
個人データが記載された書類を第三者に誤送付した場合
個人データを含むメールを第三者に誤送信した場合
システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
個人データが記載又は記録された書類・媒体等が盗難された場合
不正アクセス等により第三者に個人データを含む情報が窃取された場合
これらからわかるように、「漏えい」とは、単に個人データが個人情報取扱事業者の管理の外(外部)に出ることを意味するのではなく、当該事業者の故意・過失、又は第三者の不正行為等当該事業者が意図しない態様により、個人データが出ていってしまった現象を意味する。個人情報保護委員会としては、このあたりの意味をすべて「流出」に込めているものと推測する。
(2) 不正行為等による漏えい等
この不正行為等の主体には、個人データの管理者である個人情報取扱事業者以外の者がすべて含まれ得る。つまり、まったくの第三者はもちろん、当該事業者の従業員等(個人情報保護法上は「従業者」)も含まれる(ガイドライン通則編3-5-3-1(3)(60頁))。
「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
<例>不正行為等による漏えい等に該当する例
不正アクセスにより個人データが漏えいした場合
ランサムウェア等により個人データが暗号化され、復元できなくなった場合(基本は「毀損」だが同時に窃取された場合には「漏えい」にも該当)
個人データが記載又は記録された書類・媒体等が盗難された場合
従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
<例>現時点では不正行為等による漏えい等に該当しない例
これらに対し、現行の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(ガイドラインQ&A)/Q6-6(36頁)によれば、次のような場合は、不正行為等による漏えい等には該当しないとされている。
Q6-6 (前段)本人が第三者の作成した個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)にアクセスし、当該個人情報取扱事業者が取り扱う個人データと同じ内容の情報(IDやパスワード等)を入力した場合、報告対象となりますか。
(後段)また、偽装したウェブサイトに本人が入力した当該情報を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合、報告対象となりますか。
※(前段)(後段)は筆者挿入
(前段)
本人が第三者に個人情報取扱事業者の取り扱う個人データと同じ内容の情報を詐取されたのみでは、第三者に当該個人情報取扱事業者の取り扱う個人データが漏えいしていないことから、当該個人情報取扱事業者による報告対象にならないと考えられます。
なお、正規のウェブサイトを運営する個人情報取扱事業者においても、本人が個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があると考えられます。
(後段)
ただし、個別の事案ごとに判断されるものの、偽装したウェブサイトに本人が入力した個人情報取扱事業者が取り扱う個人データと同じ内容の情報(IDやパスワード等)を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合には、一般的には、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」が生じたものとして、報告対象となると考えられます。
(令和5年3月更新)
※(前段)(後段)は筆者挿入
個人情報取扱事業者が運営するWebサイトに偽装されたフィッシングサイト等不正行為等の主体が運営するWebサイト上において、本人が自ら入力した情報(データ)は、一度も当該事業者の管理下に入っておらず、したがって当該データは当該事業者の個人データではない。
したがって、当該事業者の個人データが流出した(漏えい)とはいえない。
このように、フィッシングサイト系の事案は、「漏えい」概念の解釈というよりは、「個人データ」概念の解釈により、個人情報保護法第26条の報告や通知の義務が否定されている。
本改正案
(1) 全体像
▶規則第7条第3号改正案
▶「個人データ」の考え方の転換
3-5-1-1 規則第7条の「個人データ」の考え方 [新設]
規則第7条は、法第26条第1項に基づく漏えい等の報告の対象となる事態について定めているところ、規則第7条に規定する「個人データ」とは、個人情報取扱事業者が取り扱う個人データをいう。
ただし、同条第3号に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれる。
そのため、同号に定める事態との関係では、3-5-1-2(「漏えい」の考え方)から3-5-1-4(「毀損」の考え方)までにおける「個人データ」は、個人情報取扱事業者が取り扱う個人データに加え、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」を含む。
同号に定める事態について、詳細は3-5-3-1(報告対象となる事態)を参照のこと。
個人情報取扱事業者が一度も管理下に置いていないデータを「個人データ」と呼ぶことにひどく違和感を覚える。(詳しくは⇢(2)へ)
また、考え方が転換された後の「個人データ」であっても、あくまで個人情報取扱事業者が取得し、又は取得しようとしている個人情報であることが必要であることから、例えば、不正行為等を行う者がどこからか個人のメールアドレスを入手し、そのメールアドレスに宛ててフィッシングサイトに誘導するメールを送信し、個人がそのフィッシングサイトから個人情報を入力するような場合は含まれないことになる。その限りでガイドラインQ&A/Q6-6(36頁)は本改正案後も有効である。
なお、その後、不正行為等を行う者が、ログイン情報等を得て当該事業者が管理する個人のマイページ等に不正アクセスを行い、個人データを窃取等すれば、その時点で、個人データの漏えい等として報告が必要となる点は従前どおりである。(このルール自体の適否の議論はあるが一旦措く)
▶「漏えい」の考え方の転換
事例6)[新設] 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
正確には、「漏えい」の考え方が転換されるというより、「漏えい」の定義中にある「個人データ」の考え方が転換されることで、それに伴い「漏えい」の考え方も転換されることになる。
個人情報取扱事業者が一度も管理下に置いていないデータ(「個人データ」)を「漏えい」するというのは、ひどく矛盾をはらむように見える。(詳しくは⇢(2)へ)
▶不正行為等による漏えい等の考え方の整理
(前段)「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為」(以下「不正行為」という。)の主体には、第三者のみならず、従業者も含まれる。
(中段)また、不正行為の相手方である「当該個人情報取扱事業者」には、当該個人情報取扱事業者が第三者に個人データ又は個人情報の取扱いを委託している場合における当該第三者(委託先)及び当該個人情報取扱事業者が個人データ又は個人情報を取り扱うにあたって第三者の提供するサービスを利用している場合における当該第三者も含まれる。
(後段)当該個人情報取扱事業者が「取得しようとしている個人情報」に該当するかどうかは、当該個人情報取扱事業者が用いている個人情報の取得手段等を考慮して客観的に判断する。 個人情報データベース等へ入力すること等を予定していれば、最終的に個人情報に該当しない統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当する。
※(前段)(中段)(後段)は筆者挿入
前段部分は従前どおりである。
中段部分は、概要、次のとおりである。
不正行為の相手方には、個人情報取扱事業者のほか、個人データや個人情報の取扱いを第三者に委託している場合はその委託先を含むほか、当該事業者が個人データや個人情報を取り扱う際にクラウドサービス等を利用している場合はそのクラウドサービス等のサービス提供者(ベンダー)をも含む。
つまり、委託先は、個人情報取扱事業者から見て「形式的には第三者に該当するものの、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しない」とされているように、個人情報取扱事業者と一体的に見るのが個人情報保護法の建付けであるから、当該委託先への不正アクセス等の不正行為も含む。
また、クラウドサービス等のサービス提供者は、多くの場合、契約等によりサーバに保存された個人データを取り扱わない旨が定められるなど、適切なアクセス制御が行っているとして、個人情報取扱事業者が管理する個人データを取り扱わないこととなっていると思われるが(ガイドラインQ&A/Q7-53(60頁)参照)、この場合、「クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要」がある(ガイドラインQ&A/Q7-54(60頁))。
そのため、仮にクラウドサービス等のサービス提供者が不正アクセス等の不正行為を受けた場合で、個人データが漏えい等した場合には、当然、個人情報取扱事業者が報告等の義務を負うことになる。
なお、この中段部分については、一般社団法人全国銀行協会(全銀協)が次のような意見を出しているが、愚問である。
つまり、中段部分は、次のとおり2つの要素で構成されているところ、全銀協の意見は、①1つ目の要素(委託関係)については理解できるものの、②2つ目の要素(クラウドサービス等サービス利用関係)について明確ではなく理解できないという苦言であろうかと思われるが、上記のとおり十分明確であり理解可能である。WARNING~クラウドサービスやテレワーク環境を利用する際の個人情報の漏えい事案に関する注意喚起~などをよく読むことをオススメする。(あるいは全銀協はクラウドサービスの性質を理解していないのだろうか…例えば、貸倉庫を借りてそこに顧客名簿等の個人データを保管していたとして、その貸倉庫が誰かに侵入等された場合を考えてみれば自ずと明らかである…いずれにせよ、ろくな意見ではない)
不正行為の相手方である「当該個人情報取扱事業者」には、①当該個人情報取扱事業者が第三者に個人データ又は個人情報の取扱いを委託している場合における当該第三者(委託先)及び②当該個人情報取扱事業者が個人データ又は個人情報を取り扱うにあたって第三者の提供するサービスを利用している場合における当該第三者も含まれる。
※①②は筆者挿入
後段部分は、解釈の問題としては理解でき特段論点はないと思われるが、そもそも「取得しようとしている個人情報」を「個人データ」の概念に含めることには反対である。(詳しくは⇢(2)へ)
▶考え方の転換や従前の考え方の明確化のための事例の追加
事例5)[新設] 従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバとの電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
事例6)[新設] 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例7)[新設] 個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例8)[新設] 個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
事例7のようなケースは例えば次のようなものである。
(2) 疑問(法律の委任の範囲を逸脱!?)
上記のとおり、本改正案は、個人情報取扱事業者が一度も管理下に置いていないデータを「個人データ」と定義し、また、それが当該事業者を介さずに直接不正行為等を行った第三者の手に渡ることを「漏えい」と定義する。
一般に想定する個人データの漏えいとはかけ離れ過ぎている印象である。
そもそも、個人情報保護法第26条第1項は「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態」に報告義務を課しているところ、一度も個人情報取扱事業者が取り扱っていないデータを、同法第16条第3項の「個人データ」の範囲を拡張し規則第7条第3号の「個人データ」に含めることは法の委任(授権)の範囲を逸脱するのではないだろうか。
本改正案では同様に同法第23条の安全管理措置に関するガイドライン通則編の記載も次のように改定予定であるが、同条が安全管理措置を講ずることを求める対象も「その取り扱う個人データ」である。
なお、「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
(※1)法第23条に定める「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が個人データとして取り扱うために取得し、又は取得しようとしている個人情報の漏えい等を防止するために必要かつ適切な措置も含まれる。そのため、次に掲げる措置及び例示における「個人データ」には、当該個人情報も含まれる。
本改正案を「個人データ」の「漏えい」として処理したいのであれば、まずは個人情報保護法第16条第3項の「個人データ」の定義を改正すべきである。もし改正するなら次のようになるか(括弧書き)。
この章において「個人データ」とは、個人情報データベース等を構成する個人情報(個人情報保護委員会規則で定める場合においては、個人情報データベース等を構成する予定で取得、又は取得する予定の個人情報を含む。)をいう。
しかし、筆者としては、「個人データ」の「漏えい」として処理するのは語義からいって不自然であり賛成できない。また、このような専らサイバーセキュリティ関係の事象を個人情報保護法で取り扱うことにも違和感がある。
サイバーセキュリティ基本法やその関連法令で取り扱うか、新たに立法を行うのが真っ当であると思われる。
事例6)[新設] 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
このケースのような「漏えい」が生じた場合、個人情報取扱事業者は個人情報保護委員会等に対し報告を行うとともに、「漏えい」の「被害」にあった個人本人に対して原則として通知が必要となるところ、その個人のデータは一度も当該事業者の手元に置かれていないことから、当該個人を特定することは困難ではないかと思われる。
そうすると、「通知が困難」(個人情報保護法第26条第2項但書)であるとして、代替措置、つまり「事案の公表」や「問合せ窓口」の設置等が必要となる(ガイドライン通則編3-5-4-5(68頁))。
こういった事案が生じた場合、WEBサイト等にて注意喚起等を行うことは一般に行われることから、結論に違和感はないが、やはり「個人データ」の「漏えい」と整理することには違和感がある。
(3) 事業者にとっての救い!?
本改正案のうち個人データの考え方を転換する部分は、次のように、規則第7条第3号のみに妥当するものであり、他の事態、つまり個人情報保護法施行規則第7条第1号・第2号・第4号には妥当しない。
三 (中略)個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)(中略)
そのため、例えば、個人データとして取り扱うつもりで行ったWebアンケートや街頭アンケート等により取得した1000人以上のアンケート結果等については、個人情報として保有している間に、不正行為等による漏えい等以外の事情により漏えい等が生じた場合には、報告対象外ということになる。
以上
この記事が気に入ったらサポートをしてみませんか?