2022年春以降に施行を予定する改正個人情報保護法により、個人情報漏洩を起こした企業の負担が一段と重くなりそうだ。現行法で努力義務にとどまる本人への通知や監督官庁への報告が、一定範囲で企業の義務になるからだ。
公表控えは許されない
最も影響が大きいのが不正アクセスによる個人情報漏洩である。2020年6月の改正法成立を受け、政府が2020年7月に示した法運用の基本方針案によると、サイバー攻撃などの不正アクセスによる漏洩は、件数を問わず被害に遭った本人に通知するよう義務付けたからだ。同時に個人情報保護委員会への報告も義務化する。
日本ネットワークセキュリティ協会(JNSA)の集計によると、2018年に企業がインターネット上で開示した個人情報の漏洩件数は443件で、漏洩人数は合計561万3797人分に上る。しかし、これは企業が把握した漏洩事案の一部分にすぎない。企業独自の判断で、情報開示していないケースが多く存在するからだ。
「企業からは、漏洩件数が少ない、実害が考えにくいといった理由から、今回は開示を控えたいという相談が少なからずある」。企業の個人情報管理に詳しい三宅法律事務所の渡辺雅之弁護士はこう明かす。
改正法施行後は、少なくとも不正アクセスによる漏洩と分かれば、そうした企業独自の「言い逃れ」を差し挟む余地はない。個人情報を扱う企業は不正アクセス対策と情報漏洩対策の再点検が急務である。
金銭補償も増加か、公表遅れれば訴訟リスクも
気になるのは、漏洩の事実関係がどの程度まで判明したら本人通知や委員会報告が求められるかである。この点、個人情報保護委員会は「詳細は(2021年始めまでに示す)規則案や(2021年5月頃に示す)ガイドライン案などで公表する」(事務局)としている。
渡辺弁護士は政府が2019年の法案提出前に示した方針を基に「2段階の対応が求められそうだ」とみる。漏洩の事実が判明した段階で委員会に伝える「速報」と、詳しい事実関係を調べた後に委員会に報告したり本人に通知したりする「確報」である。いずれにせよ、速やかに調査し原因を究明できる体制が必要となる。
表に出てくる漏洩事案が増えると、企業が被害者に支払う補償額も産業界全体で増える恐れがある。日本で個人情報漏洩に対する慰謝料や損害賠償額の最高額は1人当たり最大3万円だが、争われた最近の裁判では1人当たり数百円から3000円程度までにとどまっている。企業が自主的に決めた「おわび」は1人当たり500円など少額のケースが多い。
ただし相場が低いからといって各種対策の手を緩めることは許されない。改正法では本人通知が義務となった。通知義務を怠ったり通知が遅かったり、あるいは情報漏洩に関する説明が不十分だったりするなど、対応に不備があれば、漏洩の被害者から法令違反を問題にされるリスクが高まるからだ。
改正個人情報保護法は、漏洩の報告や本人通知の義務を「個人の権利に害を与える恐れが大きい場合」としている。政府の基本方針案が挙げる具体的な該当するケースは、不正アクセスによる漏洩に加えて2つある。1つは病歴や健康診断結果、人種、社会的身分といった「要配慮個人情報」の漏洩で、もう1つはクレジットカードなど「財産的被害を生じる恐れがある情報」の漏洩である。
不正アクセスでの漏洩を要配慮個人情報などと同じく重大視する理由を、個人情報保護委員会は「不正アクセスは個人情報を悪用する意図を持って違法に入手しようとしている。 他の漏洩と比べても、個人の権利利益を害する恐れが大きいため」と説明する。
この3つのケースでは、個人情報の漏洩はたとえ1件でも本人通知を義務付ける方針だ。同法が個人情報を「特定の個人を識別できる情報」と定めており、一般には氏名や生年月日などを含む情報が該当する。また免許証番号など個人識別に使われる番号は単体でも個人情報だ。
