個人情報保護

2022年4月に個人情報保護法が改正され、個人データの漏洩が発生した場合の報告と本人への通知が義務付けられるなど、個人情報取扱事業者の責任が強化されました。

今回は、パスワードで保護された個人情報が保存されたパソコンを紛失した場合に個人情報保護法でいう情報漏洩に該当するか考えてみましょう。

第三者が知りうる状態なら情報漏洩になる

弁護士荻野

個人データの漏洩について個人情報保護法のガイドラインでは、「個人データの『漏洩』とは、個人データが外部に流出することをいう」と定義されています。

これだけではあまりに曖昧ですが、書籍等によれば、個人データの漏洩とは、「ある情報が、第三者が知りうる状態に置かれることをいい、その情報を第三者が現実に知り得たことは必要とされない」とされます。

この基準でいくと、パスワードロックのかかったパソコンを紛失した場合等においても、第三者が知りうる状態である以上、「情報の漏洩」に該当すると考えられます。

このように個人データの漏洩はかなり幅広く認められます。

報告義務は?

他方で、実際に報告義務が生じる情報漏洩はもう少し範囲が狭くなります。

改正個人情報法で報告義務がある情報漏洩には、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた」情報の漏洩は含まれません。

ただし、「必要な措置を講じた場合」については、ガイドラインに明確な記載がなく、まだ改正法施行前であるため、具体例等が示されていません。

そのため、個人データ自体が暗号化されている場合以外は、パソコン等にパスワード等が付され、パスワードが適切に管理されていたとしても、個人データの漏洩の恐れがあったとして報告義務があると考えることが適切と考えます。

ケース別の検討

この基準を元に検討すると、次のように場合分けをして考えることができます。

①パスワード設定された個人データファイルのみ保存されたパソコンを紛失した場合

個人データファイル自体が暗号化されていれば、パスワードが適切に管理(同一パソコン内にパスワードが保存されていないなど)されている限り、報告義務はないと考えられます。

②パソコン内に個人データファイルは一切ないが、パスワード設定されたクラウドサービスのショートカットだけが用意されたパソコンを紛失した場合

個人データ自体が暗号化されているわけではなく、クラウドサービスにログインして個人情報が漏洩する恐れがあるとして、報告の対象になると考えられます。

③パソコン内に個人データファイルは一切ないが、Office365等、2段階認証やシングルサインオン等を設定済みのクラウドサービスへのショートカットだけが用意されたパソコンを紛失した場合

②と同様に報告の対象となると考えられます。

仮にログアウトしていたとしても報告対象にはなると考えるべきです。

もちろん、ログイン状態のままの方が実際に情報漏洩する可能性は高く、報告時にはログイン状態だったことも報告すべきと考えられます。

ハッキングの場合

では、紛失した場合ではなく、ハッキングされた疑いがある場合はどうでしょうか?

ハッキングの場合、不正の目的をもって行われた情報漏洩に当たります

そのため、漏洩した個人データが財産的被害が生じる恐れがないもの等であっても報告の対象となります。

単なる紛失であれば、漏洩したデータが要配慮個人情報やクレカ情報等の財産的被害が生じるものでなければ報告の必要はありません。

関連記事

お問い合わせはこちら

企業側・使用者側専門の弁護士にお任せ下さい新規予約専用ダイヤル24時間受付中!メールでの相談予約