// シス担のミカタ
インシデント対応

情報漏洩時の通知義務 じょうほうろうえいじのつうちぎむ

個人情報保護法インシデント対応GDPR報告義務漏洩通知プライバシー
情報漏洩時の通知義務について教えて

簡単に言うとこんな感じ!

個人情報が漏れたとき、「こっそり隠しとこう…」はNGで、法律で「ちゃんと報告してね!」と義務づけられてるんだよ。行政機関への届出と、本人へのお知らせ、両方が必要なケースが多いんだ!

情報漏洩時の通知義務とは

情報漏洩時の通知義務とは、企業や組織が個人情報の漏洩・流出などのインシデントを起こした場合に、法律に基づいて監督機関(行政)への報告本人への通知を行わなければならない義務のことです。日本では2022年施行の改正個人情報保護法によって明確に定められ、欧州のGDPRなど海外の規制とも連動しています。

かつては「事故が起きても自主的に開示するかどうかは企業の判断」という時代もありましたが、個人の権利意識の高まりや大規模漏洩事件の頻発を受け、世界的に義務化・厳格化の流れが進んでいます。報告を怠った場合は行政処分や罰則の対象になるため、「知らなかった」では済まされません。

発注側の立場からも重要なのは、自社が委託した先(クラウドベンダーや開発会社)で漏洩が起きた場合でも、最終的な責任は自社(個人情報取扱事業者)が負うという点です。委託先の選定・契約内容の確認が非常に重要になります。

通知義務の構造と要件

日本の改正個人情報保護法(2022年4月施行)における通知義務の全体像を整理します。

区分対象内容
①個人情報保護委員会への報告個人情報取扱事業者速報(3〜5日以内)+確報(30日以内)
②本人への通知影響を受けた本人速やかに通知(例外あり)

報告が必要なケース(対象となる漏洩等)

すべての漏洩が報告義務の対象になるわけではなく、要配慮個人情報財産的被害が生じるおそれがある場合など、以下の類型が該当します。

  • 要配慮個人情報(病歴・障害・犯罪歴など)の漏洩
  • 財産的被害が生じるおそれがある漏洩(クレジットカード番号など)
  • 不正の目的で行われたおそれがある漏洩(不正アクセスによるものなど)
  • 1,000件を超える個人情報の漏洩

通知・報告のタイムライン

漏洩発覚

   ├── 3〜5日以内 ─→ 個人情報保護委員会へ「速報」
   │                  (判明している事実の範囲で報告)

   ├── 速やかに ──→ 本人への「通知」
   │                  (影響を受けた個人へ連絡)

   └── 30日以内 ──→ 個人情報保護委員会へ「確報」
                      (詳細な調査結果を報告)
                      ※不正アクセス等は60日以内

本人通知の記載内容

本人への通知には、以下の項目を含めることが求められます。

  1. 概要:何が起きたか
  2. 漏洩した個人情報の項目:氏名・住所・メールアドレスなど具体的に
  3. 原因:なぜ漏洩したか
  4. 二次被害の防止のための措置:今後の対応策
  5. 問い合わせ窓口:相談先の連絡先

覚え方のポイント

「速報は3〜5日、確報は30日(不正は60日)」 3→5→30→60 と数字が倍々になるイメージで覚えると◎

歴史と背景

  • 2003年 — 個人情報保護法が制定(2005年全面施行)。当初は漏洩時の報告義務は努力義務にとどまっていた
  • 2014年 — ベネッセ個人情報漏洩事件(約3,504万件)。内部不正による大規模漏洩が社会問題化
  • 2016年 — 個人情報保護法の初めての大改正。「個人情報保護委員会」が設置される
  • 2018年 — EU(欧州連合)でGDPR(一般データ保護規則)が施行。72時間以内の当局報告義務など厳格なルールが世界的な基準に
  • 2020年 — 改正個人情報保護法が成立。漏洩報告・本人通知を義務化(努力義務から格上げ)
  • 2022年4月 — 改正法が全面施行。速報・確報の2段階報告制度がスタート
  • 現在 — 自治体・民間・医療など分野ごとの法整備も進行中。海外拠点を持つ企業はGDPR等との二重対応が求められる

日本法とGDPRの比較

日本の個人情報保護法とEUのGDPRでは、報告義務の要件や期限が異なります。グローバルビジネスを行う企業は両方を理解しておく必要があります。

日本の個人情報保護法 vs EU GDPR:報告義務の比較 🇯🇵 日本:個人情報保護法 🇪🇺 EU:GDPR 監督機関への報告期限 速報:3〜5日以内 / 確報:30日以内 監督機関への報告期限 認知から 72時間以内 本人への通知 義務あり(速やかに) 本人への通知 義務あり(不当な遅延なく) 罰則(法人) 最大 1億円以下の罰金 罰則(法人) 最大 2,000万ユーロ or 全世界売上の4% 対象事業者 日本国内の個人情報取扱事業者 対象事業者 EU域内の個人を対象とする全事業者 ⚠️ GDPRはEU在住者の個人情報を扱う日本企業にも適用される可能性あり 海外拠点・ECサイト運営企業は両方の規制を確認すること

委託先で漏洩が起きた場合

委託元(発注企業)が報告義務を負うという点は特に注意が必要です。たとえばクラウドサービスや開発会社が漏洩を起こしたとしても、個人情報保護法上の「個人情報取扱事業者」は発注企業であるため、報告・通知の義務は発注側が履行しなければなりません。

実務チェックポイント

  • 契約書に「漏洩発生時の即時報告義務」を盛り込んでいるか?
  • 委託先の漏洩対応フローを確認・監査しているか?
  • 発注者として連絡窓口・エスカレーションルートを整備しているか?

関連する規格・RFC

規格・文書内容
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)の国際規格。インシデント管理・報告手順の整備が要求される
ISO/IEC 27035情報セキュリティインシデント管理の国際規格。通知・エスカレーションの手順を規定

関連用語