個人データを漏えいしてしまいました。今後、どのように対応したらいいですか？

個人情報保護委員会の報告や本人への通知が必要となることがあります。

１　個人情報保護法とは？

　はじめに、個人情報保護法（正式名称：個人情報の保護に関する法律）とは、個人情報が適正に取り扱われるように、個人情報取扱事業者の義務等が定められています。

＜個人情報取扱事業者の義務の具体例＞

　①利用目的の特定、変更、制限

　②適正な取得

　③利用目的の通知又は公表

　④個人データの正確性の確保

　⑤個人データの安全管理措置

　⑥第三者提供の制限

　⑦第三者提供の記録の作成

　⑧第三者提供を受ける際の確認

　⑨個人データの開示、訂正、利用停止の対応

　⑩適切な苦情処理

２　個人情報の漏えいとは？

　個人情報の漏えいとは、個人情報が外部に流出することをいいます。

例えば、

①個人情報が記載されたデータを第三者にメールで誤送信した。

②設定ミスでインターネット上で個人情報が閲覧可能な状態となっていた。

③不正アクセスによって第三者に個人情報をとられてしまった。

などが「個人情報の漏えい」にあたります。

３　個人情報の漏えいが発生した場合の対応

　個人情報が漏えいした場合、発生内容に応じて、以下のとおり、速やかに必要な措置を講じることになります。

①事業者内部における報告及び被害の拡大防止

②事実関係の調査及び原因の究明

③影響範囲の特定

④再発防止策の検討及び実施

⑤個人情報保護委員会への報告及び本人への通知

⑥（必要に応じて）事実関係及び再発防止策の公表

４　個人情報保護委員会への報告及び本人への通知の義務化

（１）個人情報保護委員会への報告

　２０２２年４月１日から個人情報保護法改正によって、個人情報の漏えいが発生し、個人の権利利益を害するおそれが大きいときは、個人情報保護委員会への報告が義務化されました。

　個人情報保護委員会への報告は、速やかに（概ね３～５日以内）行うことが求められており、個人情報保護委員会のホームページで受け付けられています。

（２）本人への通知

　２０２２年４月１日から個人情報保護改正によって、個人情報の漏えいが発生し、個人の権利利益を害するおそれが大きいときは、個人情報の漏えいについて、本人に対して、通知することが義務化されました。通知内容は、概要、個人情報の項目、原因等になります。

　文書の郵送や電子メールで直接通知することが基本ですが、本人に直接伝えることが難しい場合、ホームページ等での公表や、問合せ窓口の設置等の代替措置を講じることも検討できます。

個人の権利利益を害するおそれが大きいとき：

①要配慮個人情報が含まれる場合

②財産的被害が生じる場合（クレジットカード番号等）

③不正の目的をもって行われた漏洩等が発生した場合（不正アクセス）

④１０００人を超える漏洩等が発生した場合

５　ポイント

１．個人情報が漏えいしたとき、速やかに適切な措置をとることが必要となる。

２．個人情報保護法改正によって個人情報保護委員会への報告が義務化された。

３．個人情報保護法改正によって本人への通知が義務化された。

６　弁護士法人かける法律事務所（”KLPC”）のサービスのご案内

　弁護士法人かける法律事務所では、「顧問契約」や「契約書や規約の作成」といった法人向けサービスを提供しており、個人情報保護法を遵守した個人情報の取扱いや、個人情報に関する契約や規約の作成にも対応しています。

　当事務所では、「安心を提供し、お客様の満足度を向上させる」という行動指針（コアバリュー）に従って、各サービスを提供していますので、是非お気軽にお問合せください。