個人情報の漏えい時のインシデント対応のキソ

個人情報の漏えい時のインシデント対応のキソ～他部門へのわかりやすい説明方法～ 2025年5月19日関原法律事務所弁護士関原秀行（Sekihara Hideyuki）

弁護士紹介関原秀行（せきはらひでゆき）総務省で個人情報保護法・電気通信事業法（通信の秘密）といったデータプライバシーに関する法制度の解釈・執行と情報流通プラットフォーム対処法（旧プロバイダ責任制限法）を担当した後、大手IT企業でインハウスローヤーとして様々なサービス・機能・システムのレビューやインシデント対応、プライバシーガバ
ナンスの構築に関与し、情報通信分野の法制度や企業の運用実務、テクノロジーに関する豊富な経験と知識を持つ弁護士です。

Agenda 本日は以下の3つをお話しします 1. イントロ 2. 個人情報保護法が定めるルール 3. 本日のまとめ

イントロ

個人情報が漏えいした場合の責任 • 対行政の責任（行政指導、報告徴収、改善命令） • 民事責任（損害賠償請求、慰謝料請求） • 刑事責任（データベース不正提供罪） • 社会的責任（レピュテーション低下、サービス離れ）

対行政の責任：個人情報保護法 • 対行政との関係で守る必要があるルールが個人情報保護法に書いてある。 • 本日は個人情報保護法に書いてある漏えい時の対応ルールを見ていきます。

個人情報保護法が定めるルール

個人情報保護法とは？ • 「個人情報」の適正な取扱いに関し、個人情報の有用性に配慮しつつ、「プライバシー」の保護を含む個人の権利利益を保護することを目的とする法律。 • 民間事業者（企業、個人事業主等）や行政機関等の個人情報の取扱い関するルールを定めている。

個人情報保護法の構成第１章総則（１条～３条）目的、官民共通の定義、基本理念、責務等第２章国及び地方公共団体の責務等（４条～６条）第３章個人情報の保護に関する施策等
（７条～１５条）第４章個人情報取扱事業者等の義務等（１６条～５９条）主として民間部門（企業等）が守るべきルール第５章行政機関等の義務等（６０条～１２９条）公的部門である行政機関等が守るべきルール第６章個人情報保護委員会（１３０条～１７０条）官民共通に適用される規律第７章雑則（１７１条～１７５条）第８章罰則（１７６条～１８５条）

個人情報保護法におけるセキュリティに関連するルール民間事業者（企業等）に対する主なルールは以下の3つ。 • 安全管理措置義務（従業者、委託先への監督義務を含む） • 漏えい等発生時の当局への報告義務 • 漏えい等発生時の本人への通知義務

漏えい等発生時の報告・通知義務を定めた条文個人情報保護法（漏えい等の報告等）第２６条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員
会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。２前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

キーワードは何か？ • 「個人データ」の • 「漏えい、滅失、毀損」に係る事態であって • 「個人の権利利益を害するおそれが大きいもの」上の3つの要件を満たすときには、報告と通知が必要

「個人データ」とは何か？ • 「個人データ」とは個人情報保護法が定義した用語 • 「個人データ」とは、個人情報データベース等（例：いわゆるDB、紙のファイル）を構成する「個人情報」のことをいう。【個人情報】【個人データ】 DBを構成する個人情報

「個人データ」とは何か？ • 「個人データ」は「個人情報」の一類型（DBを構成する個人情報） • なので、「個人情報」とは何かを見ていきます。

「個人情報」とは何か？「個人情報」とは何か？（2類型ある）「個人情報」とは生存する個人に関する情報であり、次の①又は②のいずれかに該当するもの ① 個人識別符号が含まれるもの例：顔識別データ、指紋識別データ、マイナンバー、パスポート番号等 ② 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別す
ることができるもの（他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む）例：氏名、本人が識別できる顔写真等

個人識別符号個人識別符号とは • 個人情報の定義の明確化を図るため、「個人識別符号」の定義を設けた（平成 27年改正）。 • 「個人識別符号」とは以下の①又は②のいずれかに該当するもの（政令・規則で個別に指定されている）。 ①生体データ特定の個人の身体的特徴をデジタル化した符号
顔識別データ指紋識別データ ②公的な番号サービス等において対象者ごとに付される符号運転免許証番号パスポート番号

特定個人識別情報特定個人識別情報のイメージ（個人情報）アクセス可能アクセス可能特定個人識別情報容易照合性がある情報氏名 ID 電話番号
ID 購買履歴移動履歴（データベースA）（データベースB）

「個人情報」該当性の判断基準「個人情報」該当性は誰を基準に判断するか • 情報の提供元を基準に判断する • 「漏えい」事故であれば漏えい元の企業を基準に判断

まとめると個人情報とは？個人情報のイメージユーザーID 氏名購入商品購入日 abc123def456 関原秀行 A
2025/05/19

まとめると個人データとは？個人データのイメージユーザーID 氏名購入商品購入日 abc123def456 関原秀行 A
2025/05/19 … … … … … … … … … … … …

まとめると個人データとは？個人データのイメージユーザーID 氏名住所登録日 abc123def456 関原秀行 …
… … … … … … … … … … … … … ユーザーID 購入商品購入日購入店舗 abc123def456 A 2025/05/19 123abc … … … … … … … … … … … …

漏えい、滅失、毀損漏えい、滅失、毀損とは？ • 法文上は定義は置かれていない。 • 個人情報保護委員会が策定・公表するガイドラインに行政解釈としての漏えい、滅失、毀損の定義が書かれている。

情報セキュリティの3要素と比較したときのイメージ漏えい：機密性の侵害滅失：完全性の侵害毀損：可用性の侵害

「漏えい」とは「漏えい」とは個人データが外部に流出すること例： • 外部からの不正アクセスにより攻撃者に個人データに該当するユーザーデータを窃取された。 • システムの設定ミスにより本来は閲覧できないはずのユーザーの個人データがインターネット上で自由に閲覧可能な状態になっていた。
• BCCで送信予定だった個人データである顧客のメールアドレスを誤ってCCで一斉送信してしまった。

「滅失」とは「滅失」とは個人データの内容が失われること例： • システム障害によりサービス提供に必要な個人データに該当する顧客DBの一部の情報が消去されて復元・利用できなくなってしまった。

「毀損」とは「毀損」とは個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になること例： • ランサムウェアにより個人データが暗号化され、復号できなくなってしまった（他に同様のデータも保持していない場合）。

漏えい、滅失、毀損の定義のまとめ「漏えい」（機密性の侵害） ⇒個人データが外部に流出すること「滅失」（完全性の侵害） ⇒個人データの内容が失われること「毀損」（可用性の侵害） ⇒個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になること

どんな「漏えい等」が報告・通知の対象になるか？「個人データ」の「漏えい、滅失、毀損」（漏えい等）のうち「個人の権利利益を害するおそれが大きいもの」が報告・通知の対象 4類型 ① 要配慮個人情報の漏えい等 ② 財産的被害のおそれがある漏えい等 ③ 不正の目的によるおそれがある漏えい等
④ 本人数1,000人を超える漏えい等 ✓ 「漏えい等」のおそれも含む ✓ 高度な暗号化等の秘匿化がされている場合には、報告・通知の対象外 ✓ ③の場合、個人データとして取扱う予定の個人情報も対象 ①～③は件数に関わりなく対象漏えい等企業個人情報保護委員会被害者（本人）報告通知

要配慮個人情報の漏えい等「要配慮個人情報」に該当する個人データの漏えい等が発生した場合 ⇒1件から報告・通知が必要

要配慮個人情報とは「要配慮個人情報」とは、以下のセンシティブな情報が含まれる「個人情報」 1. 人種：人種、世系又は民族的若しくは種族的出身を広く意味する。 2. 信条：個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含む。 3. 社会的な身分：ある個人にその境遇として固着していて、一生の間、自らの力によって容易に脱し得ないような地位 4.
病歴：病気に罹患した経歴 5. 犯罪の経歴：前科、すなわち有罪の判決を受けこれが確定した事実 6. 犯罪により害を被った事実：犯罪の被害を受けた事実 7. その他政令で定めるもの：施行令・施行令から委任された施行規則で規定 • 身体障害、知的障害、精神障害その他の規則で定める心身の機能障害があること • 本人に対して医師等により行われた健康診断等の結果 • 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態改善のための指導又は診療若しくは調剤が行われたこと • 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴提起その他の刑事事件に関する手続が行われたこと • 本人を少年法3条1項に規定する少年又はその疑いのある者として、調査、観護措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと

財産的被害のおそれがある漏えい等財産的被害のおそれがある個人データの漏えい等が発生した場合 ⇒1件から報告・通知が必要「財産的被害のおそれ」がある場合の具体例 • ECサイトからクレジットカード番号を含む個人データが漏えいした場合 • 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

不正の目的によるおそれがある漏えい等不正の目的によるおそれがある個人データの漏えい等が発生した場合 ⇒1件から報告・通知が必要不正行為を行う主体は、第三者のほか、自社の従業者も含まれる具体例 • 不正アクセスによりユーザーの個人データが攻撃者に窃取された場合。 • 従業者がユーザーの個人データを不正に持ち出して第三者に売却した場合。 •
ランサムウェアによりユーザーの個人データが暗号化され、復号できなくなった場合（他に同様のデータも保持していない場合）。

本人数1,000人を超える漏えい等前述した漏えい等に該当しない場合であっても ⇒対象となる本人の数が1,000人を超えたときは報告・通知が必要具体例 • システムの設定ミスにより本来は閲覧できないはずのユーザーの個人データがインターネット上で自由に閲覧可能な状態となり、その対象ユーザー数が1,000 人を超える場合

報告・通知が必要な類型のまとめ以下の①～④のいずれかに該当する個人データの漏えい、滅失又は毀損が発生した場合には、報告・通知が必要となる。 ① 要配慮個人情報に該当する個人データの漏えい等が発生 ⇒1件から報告・通知が必要 ② 財産的被害のおそれがある個人データの漏えい等が発生した場合 ⇒1件から報告・通知が必要 ③
不正の目的によるおそれがある個人データの漏えい等が発生した場合 ⇒1件から報告・通知が必要 ④ 本人の数が1,000人を超える個人データの漏えい等が発生した場合 ⇒1,001件から報告・通知が必要

漏えい等が生じた場合の対応当局への報告と本人への通知が必要 4類型 ① 要配慮個人情報の漏えい等 ② 財産的被害のおそれがある漏えい等 ③ 不正の目的によるおそれがある漏えい等 ④
本人数1,000人を超える漏えい等 ✓ 「漏えい等」のおそれも含む ✓ 高度な暗号化等の秘匿化がされている場合には、報告・通知の対象外 ✓ ③の場合、個人データとして取扱う予定の個人情報も対象 ①～③は件数に関わりなく対象漏えい等企業個人情報保護委員会被害者（本人）報告通知

「報告」の時期と方法 • 速報と確報の2段階にわけて当局に報告を行う必要がある。 • 報告先は個人情報保護委員会（権限委任されているときは委任先の府省庁等）。 https://www.ppc.go.jp/personalinfo/legal/kengenInin/ 報告対象事態を知った後、速やか（概ね3～5日以内）に当該自体に関する次に掲げる事項を報告しなければならない。 ①
概要 ② 個人データの項目 ③ 個人データに係る本人の数 ④ 原因 ⑤ 二次被害又はそのおそれの有無及びその内容 ⑥ 本人への対応の実施状況 ⑦ 公表の実施状況 ⑧ 再発防止のための措置 ⑨ その他参考となる事項い当該事態を知った日から30日以内に確報を提出しなければならない。 ✓ 不正の目的によるおそれがある漏えい等（不正アクセス等）の場合は60日以内 ✓ 速報時点で全ての事項を報告できる場合は、確報を兼ねて速報を提出することも可能速報確報

「通知」の時期と方法 • 「事態の状況に応じて速やか」に、本人に通知する。 • 本人への通知が困難な場合には、代替措置による対応も可能。本人の権利利益を保護するために必要な範囲で、以下の黄色マーカーの事項を通知する。 ① 概要 ②
個人データの項目 ③ 個人データに係る本人の数 ④ 原因 ⑤ 二次被害又はそのおそれの有無及びその内容 ⑥ 本人への対応の実施状況 ⑦ 公表の実施状況 ⑧ 再発防止のための措置 ⑨ その他参考となる事項い通知事項本人への通知が困難な場合には、代替措置による対応が可能。（困難場合の具体例） • 本人への連絡先を保有していない。 • 連絡先が古いために本人に連絡できない。（代替措置の具体例） • 事案の公表 • 問合せ窓口を用意してその連絡先を公表代替措置

報告・通知が必要な場合の対応のまとめ • 報告・通知が必要な漏えい等が発生した場合には、当局への報告と本人への通知を行う必要がある。 • 当局への報告は、速報（概ね3～5日以内）と確報（原則30日以内、不正アクセス等は60日以内）の2段階にわけて行う。 • 本人への通知は、事案の状況に応じて速やかに行う（本人通知が困難なケースは代替措置で対応する）。

委託先として取り扱っていた個人データが漏えいした場合委託先として委託元から受領していた個人データが漏えいした場合漏えい等委託先委託元個人データの取扱いを委託攻撃

委託先の漏えい・通知義務の免除 • 委託元と委託先の双方が原則として当局への報告と本人通知の義務を負う。 • ただし、委託先が報告対象事態を知った後、速やか（概ね3～5日以内）に委託元に通知した場合には、委託先は当局報告と本人通知義務が免除される。 • 委託元が企業の場合だけではなく、行政機関等から受託した場合も同様。

本日のまとめ

本日のまとめ • 「本人の権利利益を害するおそれが大きい」「個人データ」の「漏えい、滅失、毀損」に係る事態が発生（おそれを含む）した場合には、当局への報告と本人への通知が必要。 • 報告と通知が必要なケースは4類型 ① 要配慮個人情報 ②
財産的被害のおそれ ③ 不正アクセス・不正持ち出し等 ④ 本人数1000人超え • 当局への報告は、速報と確報にわけて2段階で報告する。 • 本人への通知は、事態の状況に応じて速やかに行う（通知困難な場合には代替措置を講じる）。 • 委託先は、委託元への速やかな通知により報告・通知義務を免除される。

大事なことは • インシデントが発生する前に準備しておきましょう • インシデントの検知～報告・通知・公表までのプロセスを整備しましょう • 社内の役割分担は決めておきましょう • 社内のルールを把握して所管部署に連絡しましょう
• 社外の専門家を確保しておきましょう

ご清聴ありがとうございました関原秀行（せきはらひでゆき） X（旧Twitter） Mail ：@Hide_Sekihara ：[email protected]

個人情報の漏えい時のインシデント対応のキソ

個人情報の漏えい時のインシデント対応のキソ

関原秀行

More Decks by 関原秀行

Featured

Transcript