「サイバー攻撃と個人情報保護法～社労夢へのサイバー攻撃への法的対応～」

1 １　はじめに
2 ２　個人情報保護法上の義務
3 ３　個人情報保護員会への報告
- - 3.0.1 （１）報告義務の内容・方法
  - 3.0.2 （２）報告の主体
4 ３　本人への通知
5 ４　最後に
- 5.1 弁護士法人法律事務所瀬合パートナーズ
- 5.2 最新記事 by 弁護士法人法律事務所瀬合パートナーズ (全て見る)

１　はじめに

　近年、サイバー攻撃による個人データ流出の問題が目に触れる機会が増えています。株式会社エムケイシステム社が提供するクラウドサービス「社労夢」に対する、ランサムウェアによるサイバー攻撃が話題になったことは記憶に新しいでしょう。
　以下では、サイバー攻撃等による個人情報流出への法的対応について解説していきます。

２　個人情報保護法上の義務

　個人情報保護法では、個人情報取扱業者（「個人情報データベース等（特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの）」を事業の用に供している者をいいます。）に対し、取り扱う個人データの漏えい等が生じた場合のうち、一定の場合には、個人情報保護委員会への報告義務及び本人（漏えい等を受けたおそれのある本人であり、社労夢の例では、従業員ということになります）への通知義務を課しています。

３　個人情報保護員会への報告

（１）報告義務の内容・方法

　報告義務が生ずるのは、個人データの漏えい等の事態であって、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」であり、「社労夢」へのサイバー攻撃の例では、同規則７条３号で定める「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」に該当し、報告義務が生ずると解されます。
　個人情報保護委員会への報告には、「速報」と「確報」の２つがあり、ガイドライン上、速報は「当該事態を知った時点から概ね３～５日以内」、確報は「当該事態を知った日から三十日以内」に行う必要があります。
　速報も確報も、報告すべき事項は共通であり、①事態の概要、②漏えい等が生じたおそれのある個人データの項目、③本人の数、④原因などについて報告しなければなりません。そして、ガイドライン上、「速報の時点で全ての事項を報告できる場合には、１回の報告で速報と確報を兼ねることができる」と記載されており、速報では十分に報告されていないと個人情報保護委員会が判断した事項について、確報で報告を補うことが予定されていると考えられます。

（２）報告の主体

　漏えい等の報告義務を負うのは、漏えい等が発生した個人データを取り扱う個人情報取扱業者です。
　個人データの取扱いを委託している場合には、委託元と委託先の双方が個人データを取り扱っているという位置づけになるため、委託元と委託先の双方が報告の義務を負うことになります（もっとも、必ずしも連名で報告を行う必要はありません）。

３　本人への通知

　個人情報の漏えい等が生じた場合には、個人情報保護委員会への報告とは別に、本人にも一定の事項を通知しなければなりません。
　本人への通知は、「事態を知った後、当該事態の状況に応じて速やかに」するものとされており、ガイドライン等でも一律に具体的な時間制限が設けられているわけではありません。したがって、事態の把握が十分でないまま通知をすることで本人に損害が生ずるおそれがある場合のように、直ちに通知することによる弊害が見込まれるときは、通知による弊害がなくなるまでの間、通知を留保することも許されると考えられます。
　もっとも、漏えい等が生じたことにより、通知義務自体は発生しているため、（直ちにではないにせよ）最終的には本人への通知を行う必要があります。

４　最後に

　以上のように、個人情報の漏えい等が生じた場合には、適切な時期に、状況に応じた措置をとることが必要になります。
　もし、「サイバー攻撃を受けたが、法律上どのような措置をとらなければならないのか不安がある」といっことでお困りなら、個人情報保護法に詳しい弁護士に相談されるのがよいでしょう。

この記事を書いた人
最新の記事

弁護士法人法律事務所瀬合パートナーズ

顧問弁護士とは、企業の「強力な参謀役」です。お悩みのことがあれば、どのようなことでもまずはご相談いただき、もし当事務所が解決するのに適さない案件であれば、解決するのに適切な専門家をご紹介させていただきたいと考えております。経営者の方々のお悩みを少しでも軽くし、経営に集中していただくことで、会社を成功させていっていただきたいと思います。