<ポイント>
◆個人情報保護委員会に対する報告が法律上の義務に
◆本人への通知が義務化、訂正・消去、第三者提供停止等請求権が認められた
個人データ(個人情報データベース等を構成する個人情報)が漏洩、滅失又は毀損(「漏えい等」といいます)した場合の対応については、改正前においても個人情報保護委員会の「個人データの漏洩等の事案が発生した場合の対応について」の告示がありましたが、法律には規定がありませんでした。
また、当該告示では、個人情報保護委員会への報告が定められていましたが、「速やかに報告するように努める」とされるにとどまっていました。
本人への通知も、「影響を受ける可能性のある本人への連絡等」の「必要な措置を講ずることが望ましい」とされるにとどまっていました。
改正個人情報保護法では第22条の2が新設され、個人情報取扱事業者は、個人データの漏洩等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務とされました。
漏えい等を報告させるのは、個人情報保護委員会が事態を早急に把握し、必要な措置を講じることができるようにするためであり、本人通知は、通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにするためです。
上記の漏洩等の報告義務を負う場合については個人情報保護委員会規則で定めることになっており、同規則により個人情報の保護に関する法律施行規則が改正されています。
個人の権利利益を害するおそれが大きいものとして個人情報保護委員会に報告義務を負う場合としては、要配慮個人情報が含まれる個人データの漏えい等の4つの場合が定められています。さらに報告すべき事項として漏えい等が発生し、又は発生したおそれがある個人データの項目、それに係る本人の数、原因などを、速報と確報の二段階に分けて、事態の発生を認識した後速やかに速報を求めるとともに、原則として30日以内に確報を求められています。
本人に通知すべき事項は、上記報告事項のうち漏えい等が発生し、又は発生したおそれがある個人データの項目、原因、二次被害又はそのおそれの有無及びその内容等の一部の事項です。漏えいした事態の状況に応じて速やかに通知しなければならないとされています。
従前から、本人は、個人情報取扱事業者に対して、個人情報を目的外利用したとき、不正の手段により取得したときに利用停止または消去(以下「利用停止等」)の請求が認められていました。
今回の改正法では、漏洩等が生じたときも、利用停止等の請求が認められています。さらには、第三者の提供停止の請求権も認められています。通知を受けた本人が自己の情報をコントロールできるように、権利が強化されたものといえます。
今回の改正により報告及び通知が義務化されたことにより従前から定められていた個人情報保護委員会による報告及び立ち入り検査、指導及び助言、勧告及び命令のうち、勧告及び命令について報告及び通知義務違反も対象となる改正がなされています。
今回の法改正以前から、個人情報取扱事業者は、個人データの漏洩等が生じた場合に、プライバシー権侵害を理由として本人に対して債務不履行又は不法行為に基づく損害賠償責任を負うことがありました。
今回の法改正を受け、個人情報取扱事業者において報告義務違反、通知義務違反が見られ事後的な対応に問題があった場合にも、これら責任が認められやすくなる等の影響は考えられます。今後の裁判所の判断によるところはありますが、注意が必要と考えます。
また、条文上は、法第22条の2違反があったとしても、これによって直ちに刑事罰が科される体裁にはなっていません。ただし、法第40条第1項により個人情報保護委員会から報告等を求められたにもかかわらずこれをせず、または虚偽の報告等をした場合には罰金に処せられることとなります。これは改正前と変更はありません。なお、罰金は従前30万円以下の罰金とされていたものが改正により50万円以下に引き上げられています。