全2746文字
PR

政府は改正個人情報保護法の施行を2022年春以降に予定する。現行法よりも個人情報漏洩を起こした企業への負担が一段と重くなりそうだ。本人への通知や監督官庁への報告が一定範囲で企業の義務になるからだ。

 2020年6月に国会で成立した改正個人情報保護法の施行により、企業が最も影響を受けるのが不正アクセスによる個人情報漏洩だ。政府が2020年7月に示した法運用の基本方針案によると、サイバー攻撃などの不正アクセスによる漏洩は、件数を問わず被害に遭った本人に通知するよう義務付けたからだ。同時に個人情報保護委員会への報告も義務化する。

図 改正個人情報保護法で新設する「漏洩報告義務」と「個人関連情報に関する規制」の概要
図 改正個人情報保護法で新設する「漏洩報告義務」と「個人関連情報に関する規制」の概要
不正アクセスによる個人情報漏洩は1件でも報告
[画像のクリックで拡大表示]

 日本ネットワークセキュリティ協会(JNSA)の集計によると、2018年に企業がインターネット上で開示した個人情報の漏洩件数は443件で、漏洩人数は合計561万3797人分に上る。だがこれは企業が把握した漏洩事案の一部にすぎない。企業独自の判断で開示しないケースが多く存在するからだ。

 「企業からは、漏洩件数が少ない、実害が考えにくいといった理由から、今回は開示を控えたいという相談が少なからずある」。企業の個人情報管理に詳しい三宅法律事務所の渡辺雅之弁護士はこう明かす。

 改正法施行後は少なくとも不正アクセスによる漏洩と分かれば、そうした企業独自の「言い逃れ」を差し挟む余地はない。個人情報を扱う企業は不正アクセス対策と情報漏洩対策の再点検が急務である。

補償額は増加、訴訟リスクも高まる

 気になるのは、漏洩の事実関係がどの程度まで判明したら本人通知や委員会報告が求められるかである。この点、個人情報保護委員会は「詳細は(2021年始めまでに示す)規則案や(2021年5月頃に示す)ガイドライン案などで公表する」(事務局)としている。

 渡辺弁護士は政府が2019年の法案提出前に示した方針を基に「2段階の対応が求められそうだ」とみる。漏洩の事実が判明した段階で同委員会に伝える「速報」と、詳しい事実関係を調べた後に同委員会に報告したり本人に通知したりする「確報」である。いずれにせよ、速やかに調査し原因を究明できる体制が必要となる。

 表に出てくる漏洩事案が増えると、企業が被害者に支払う補償額も産業界全体で増える恐れがある。日本で個人情報漏洩に対する慰謝料や損害賠償額の最高額は1人当たり最大3万円だが、争われた最近の裁判では1人当たり数百円から3000円程度までにとどまる。企業が自主的に決めた「おわび」は1人当たり500円など少額の場合が多い。

 少額だからといって各種対策の手を緩めることは許されない。改正法では本人通知が義務となった。通知義務を怠ったり通知が遅かったり、あるいは情報漏洩に関する説明が不十分だったりするなど、対応に不備があれば、漏洩の被害者から法令違反を問題にされるリスクが高まるからだ。

 改正個人情報保護法は漏洩の報告や本人通知の義務を「個人の権利に害を与える恐れが大きい場合」としている。政府の基本方針案が挙げる具体的な該当するケースは不正アクセスによる漏洩に加えて2つある。病歴や健康診断結果、人種、社会的身分といった「要配慮個人情報」の漏洩と、クレジットカードなど「財産的被害を生じる恐れがある情報」の漏洩である。