2022年4月に個人情報保護法が改正され、個人データの漏洩が発生した場合の報告と本人への通知が義務付けられるなど、個人情報取扱事業者の責任が強化されました。
今回は、パスワードで保護された個人情報が保存されたパソコンを紛失した場合に個人情報保護法でいう情報漏洩に該当するか考えてみましょう。
第三者が知りうる状態なら情報漏洩になる
個人データの漏洩について個人情報保護法のガイドラインでは、「個人データの『漏洩』とは、個人データが外部に流出することをいう」と定義されています。
これだけではあまりに曖昧ですが、書籍等によれば、個人データの漏洩とは、「ある情報が、第三者が知りうる状態に置かれることをいい、その情報を第三者が現実に知り得たことは必要とされない」とされます。
この基準でいくと、パスワードロックのかかったパソコンを紛失した場合等においても、第三者が知りうる状態である以上、「情報の漏洩」に該当すると考えられます。
このように個人データの漏洩はかなり幅広く認められます。
報告義務は?
他方で、実際に報告義務が生じる情報漏洩はもう少し範囲が狭くなります。
改正個人情報法で報告義務がある情報漏洩には、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた」情報の漏洩は含まれません。
ただし、「必要な措置を講じた場合」については、ガイドラインに明確な記載がなく、まだ改正法施行前であるため、具体例等が示されていません。
そのため、個人データ自体が暗号化されている場合以外は、パソコン等にパスワード等が付され、パスワードが適切に管理されていたとしても、個人データの漏洩の恐れがあったとして報告義務があると考えることが適切と考えます。
ケース別の検討
この基準を元に検討すると、次のように場合分けをして考えることができます。
①パスワード設定された個人データファイルのみ保存されたパソコンを紛失した場合
個人データファイル自体が暗号化されていれば、パスワードが適切に管理(同一パソコン内にパスワードが保存されていないなど)されている限り、報告義務はないと考えられます。
②パソコン内に個人データファイルは一切ないが、パスワード設定されたクラウドサービスのショートカットだけが用意されたパソコンを紛失した場合
個人データ自体が暗号化されているわけではなく、クラウドサービスにログインして個人情報が漏洩する恐れがあるとして、報告の対象になると考えられます。
③パソコン内に個人データファイルは一切ないが、Office365等、2段階認証やシングルサインオン等を設定済みのクラウドサービスへのショートカットだけが用意されたパソコンを紛失した場合
②と同様に報告の対象となると考えられます。
仮にログアウトしていたとしても報告対象にはなると考えるべきです。
もちろん、ログイン状態のままの方が実際に情報漏洩する可能性は高く、報告時にはログイン状態だったことも報告すべきと考えられます。
ハッキングの場合
では、紛失した場合ではなく、ハッキングされた疑いがある場合はどうでしょうか?
ハッキングの場合、不正の目的をもって行われた情報漏洩に当たります。
そのため、漏洩した個人データが財産的被害が生じる恐れがないもの等であっても報告の対象となります。
単なる紛失であれば、漏洩したデータが要配慮個人情報やクレカ情報等の財産的被害が生じるものでなければ報告の必要はありません。
-
この記事を書いた弁護士
荻野 哲也(おぎの てつや)たくみ法律事務所 福岡オフィス所属福岡県朝倉市出身。久留米大学附設中学・高校、早稲田大学、同法科大学院を経て、司法試験に合格。学生時代にプログラミングを趣味にしており、IT企業のご支援、システム開発を巡る紛争の解決、システム開発業務委託契約書の作成・チェックに特に注力。広告法務(薬機法・景表法等)、個人情報保護法関連も得意としている。
お問い合わせはこちら
