本文へスキップします。

H1

個人情報保護法の対象事業者が注意すべき事項は?

最新版


個人情報保護法の対象事業者が注意すべき事項は?

個人情報の漏えい事故等を起こした場合は、個人情報保護法に基づく行政罰はありませんが刑事罰が適用されることもあります。また、社会的信用の失墜による損失のほか、民事責任(プライバシーの侵害による損害賠償責任等)を負う可能性があります。


個人情報が漏えいした場合どのような責任が生じるの?
 
個人情報取扱事業者が個人情報保護法に違反した場合、個人情報保護委員会はその事業者に対して、必要に応じて報告を求め、立入検査を行うことができるとともに、実態に応じて、指導・助言、勧告・命令を行うことができます。

加えて、以下の場合には、刑事罰が課される可能性があります。
 [1] 個人情報保護委員会の命令に違反した場合
   :1年以下の懲役又は100万円以下の罰金(法人等については、1億円以下の罰金)
 [2] 個人情報データベース等の不正提供等をした場合
   :1年以下の懲役又は50万円以下の罰金(法人等については、1億円以下の罰金)
 [3] 個人情報保護委員会への虚偽報告等をした場合
   :50万円以下の罰金(法人等については、50万円以下の罰金)
 
また、上記に加え、プライバシー侵害による民事上の損害賠償請求、社会的な評価の低下(取引先や顧客に対する信用の失墜を含みます。)や、苦情への対応と謝罪の必要が生じる可能性があります。

事業者にとってもリスクを背負う範囲が広まっていることを理解した上で、個人情報の漏えい等を防ぐには従業員教育により従業員のセキュリティに対する意識の向上を図ることが第一歩となります。また、自社のシステムに合わせたセキュリティ環境を作り上げ、セキュリティの強化を図ることが大切です。
【参考】
個人情報の漏えいに起因して、個人情報を取り扱う事業者が損害賠償を請求された場合の損害等や見舞金等の費用を補償する、いわゆる「個人情報漏洩保険」や、さらに広範な範囲をカバー(サイバー攻撃またはそのおそれに伴う損害賠償責任や費用が補償の対象)する「サイバー保険」と呼ばれる保険が商品化されています。詳細は各損害保険会社にお問い合わせ下さい。


個人情報が漏えいした場合、どのような対応を取ればよいのか?

個人情報保護委員会は、個人情報(個人データ)の漏えいのみならず、滅失、毀損した場合にも一定の対応を求めています。漏えい、滅失、毀損の意味は次のとおりです。
 ◆漏えい:個人データが外部に流出すること
 ◆滅失:個人データの内容が失われること
 ◆毀損:個人データの内容が意図しない形で変更される、あるいは内容を保ちつつも
      利用不能な状態となること

個人データを取り扱う事業者は、①要配慮個人情報の漏えい等、②不正アクセス等による漏えい等、③財産的被害のおそれがある漏えい等、④1000件を超える漏えい等が生じたときは、個人情報保護法施行規則所定の方法により、当該事態が生じた旨を個人情報保護委員会に報告しなければなりません。

具体的には、個人データを取り扱う事業者は、上記①~④に記載の報告対象事態が発生したことを知った時から、速やかに「速報」を、また、報告対象事態を知った日から30日以内又は60日以内に「確報」を、それぞれ行うことが必要です。(法施行規則第8条第1項及び第2項)
そのため、あらかじめ対応可能な体制を構築しておくことが重要です。

また、個人データを取り扱う事業者は、漏えい等事案の内容等に応じて、次の[1]から[6]に掲げる事項について必要な措置を講じなければなりません。(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和3年10月一部改正版 3-5-2)
   [1] 事業者内部における報告及び被害の拡大防止:責任ある立場の者に直ちに報告すると
       ともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
 [2] 事実関係の調査及び原因の究明:漏えい等事案の事実関係の調査及び原因の究明に必要な
       措置を講ずる。
 [3] 影響範囲の特定:上記[2]で把握した事実関係による影響の範囲を特定する。
 [4] 再発防止策の検討及び実施:上記[2]の結果を踏まえ、漏えい等事案の再発防止策の検討
       及び実施に必要な措置を速やかに講ずる。
 [5] 影響を受ける可能性のある本人への連絡等:漏えい等事案の内容等に応じて、二次被害
      の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、
      又は本人が容易に知り得る状態におく。
 [6] 個人情報保護委員会への報告及び本人への通知:漏えい等事案の内容等に応じて、個人
      情報保護委員会への報告及び本人への通知を行うと共に、二次被害の防止、類似事案の
      発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。