本人通知・委員会報告・実務対応を、4類型、期限、文面、委託先事故、被害者側の確認事項まで一体で整理します。
本人通知・委員会報告・実務対応を、4類型、期限、文面、委託先事故、被害者側の確認事項まで一体で整理します。
本人通知は、公表や謝罪とは異なり、本人の権利利益を守るための直接的な情報提供です。
データ漏えい事故の際の被害者への通知義務は、謝罪文や広報対応だけの問題ではありません。日本の個人情報保護法では、一定の個人データについて漏えい、滅失、毀損、またはそれらのおそれが生じた場合、個人情報保護委員会等への報告と、対象者本人への通知が問題になります。
ここでいう本人とは、漏えい等の対象となった個人データによって識別される個人です。一般には被害者、対象者、利用者、顧客、従業員などと呼ばれますが、制度上は本人が自分の権利利益を守るための情報を受け取れるかが中心になります。
次の重要ポイントは、データ漏えい事故の通知義務で最初に確認する全体像を表しています。なぜ重要かというと、報告対象事態に当たるか、本人が自衛措置を取れるか、事業者が期限内に対応できるかが、初動の設計を左右するためです。読者は、4類型、期限、本人通知の目的をまず押さえてください。
報告対象事態に当たる場合、原則として個人情報保護委員会等への報告と本人通知を検討します。公表は重要な場面がありますが、本人に直接知らせる通知の代わりに常になるわけではありません。
次の一覧は、事故発覚後に確認する順番を表しています。なぜ重要かというと、個人データ該当性、漏えい等の有無、4類型該当性、本人通知の可否を分けて考えないと、通知漏れや過剰な公表につながるためです。上から順に、判定の前提を積み上げて読むと実務の流れが分かります。
個人データまたは個人データとして取り扱われる予定の個人情報に当たるかを確認します。
漏えい、滅失、毀損、またはそれらのおそれがあるかを整理します。
要配慮個人情報、財産的被害、不正目的、1,000人超の4類型に当たるかを確認します。
速報、確報、本人通知、代替措置、公表を整合させます。
契約、信用維持、二次被害防止の観点から説明や窓口が必要な場合があります。
個人データ、漏えい、滅失、毀損、おそれ、要配慮個人情報を分けて把握します。
通知義務の判断では、個人情報、個人データ、保有個人データを分けて理解する必要があります。漏えい等報告と本人通知の中心は、通常、データベース化された顧客リスト、会員管理システム、採用応募者管理表、従業員台帳、CRM、ECサイトの注文履歴、クラウド上の名簿などの個人データです。
次の比較表は、データ漏えい事故の通知義務で使う基本用語を整理したものです。なぜ重要かというと、同じ個人に関する情報でも、制度上の位置づけによって報告・通知の検討順序が変わるためです。左列で用語、中列で意味、右列で事故時にどこを見ればよいかを確認してください。
| 用語 | 意味 | 事故時の確認点 |
|---|---|---|
| 個人情報 | 氏名、生年月日、連絡先、顔画像、個人識別符号など、生存する個人を識別できる情報です。 | 単独または組み合わせで個人を識別できるかを確認します。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。 | 漏えい等報告・本人通知の中心になるため、管理システムや一覧表への登録状況を見ます。 |
| 保有個人データ | 事業者が開示、訂正、利用停止等の権限を有する個人データです。 | 本人からの開示請求や利用停止等請求への対応で重要になります。 |
| 要配慮個人情報 | 病歴、健康診断結果、診療・調剤情報、犯罪被害情報など、特に配慮を要する情報です。 | 人数が少なくても報告対象事態になり得るため、情報の性質を優先して確認します。 |
次の比較表は、漏えい、滅失、毀損、おそれの違いを示しています。なぜ重要かというと、外部流出だけでなく、データ消失、改ざん、ランサムウェアによる利用不能、漏えいの可能性がある段階でも対応が必要になり得るためです。例と本人通知との関係を横に見比べてください。
| 類型 | 典型例 | 本人通知との関係 |
|---|---|---|
| 漏えい | 顧客リストの誤送信、不正アクセスによる窃取、CC欄でのメールアドレス表示。 | 報告対象事態に該当すれば本人通知が必要になります。 |
| 滅失 | バックアップのない名簿の誤廃棄、媒体紛失により同一データも残っていない状態。 | 情報の性質や件数により報告対象事態になり得ます。 |
| 毀損 | データ改ざん、ランサムウェアによる暗号化で復元できない状態。 | 不正目的類型や毀損として問題になり得ます。 |
| おそれ | 窃取型マルウェア感染の可能性、外部からの漏えい指摘、初期調査で否定できない状態。 | 確定前でも、ログや攻撃の性質から検討が必要です。 |
報告対象事態に当たると、原則として委員会報告と本人通知の両方を検討します。
本人通知が必要かどうかは、まず報告対象事態に当たるかを確認して考えます。個人情報保護委員会規則上の代表的な4類型は、要配慮個人情報、財産的被害のおそれ、不正目的による行為、本人の数が1,000人を超える漏えい等です。
次の比較表は、報告対象事態の4類型を整理したものです。なぜ重要かというと、人数が少なくても該当する類型と、規模によって該当する類型が混在しているためです。左から類型、判断の焦点、典型例を確認し、1つでも当たり得るものがないかを見ます。
| 4類型 | 判断の焦点 | 典型例 |
|---|---|---|
| 要配慮個人情報 | 病歴、診療情報、健康診断結果、障害情報、犯罪被害情報などが含まれるか。 | 医療機関、薬局、介護、人事労務の健康情報など。 |
| 財産的被害のおそれ | 不正利用により金銭被害が生じる蓋然性があるか。 | クレジットカード番号、決済アカウント、IDとパスワード、本人確認書類画像など。 |
| 不正目的による行為 | 不正アクセス、マルウェア、内部不正、盗難などによる漏えい等か。 | ランサムウェア、サーバ侵害、ウェブサイト改ざん、媒体盗難、委託先事故など。 |
| 1,000人超 | 対象となる本人の数が1,000人を超えるか。 | メールマガジンのCC送信、クラウド設定ミスによる大量閲覧可能状態など。 |
次の横棒グラフは、4類型のうち実務上の注意度を相対的に示したものです。なぜ重要かというと、単純な件数だけでなく、情報の性質や攻撃性によって優先度が変わるためです。割合の長さは対応判断で早く確認したい度合いを示しており、長い項目ほど初動で優先的に確認します。
速報、確報、本人通知は別々の制度ですが、事実関係と説明内容を整合させる必要があります。
個人情報保護委員会への報告と本人通知は、目的も相手方も異なります。報告は監督機関に事故の概要、対象データ、本人の数、原因、二次被害、本人対応、公表状況、再発防止策などを提出する制度です。本人通知は、対象者本人が自衛措置を取れるように知らせる制度です。
次の時系列は、事故発覚後の大まかな対応順序を表しています。なぜ重要かというと、初動24時間、速報の目安、確報期限、本人通知の時期を混同すると、証拠保全や本人保護が遅れるためです。上から順に、各段階で何を固めるかを読み取ってください。
システム遮断、権限停止、ログ保全、端末・サーバ・クラウド設定の確認、関係部門の招集を優先します。
発生日、発覚日、事故概要、対象データ、対象人数、原因の暫定分析、本人対応方針、公表方針を整理します。
本人がパスワード変更、カード停止、口座確認、詐欺メール警戒などを取れるよう、必要な範囲で通知します。
不正目的類型は60日以内、それ以外は原則30日以内を意識し、原因分析、本人対応状況、再発防止策を具体化します。
次の比較表は、本人通知のタイミングを決めるときの判断要素をまとめたものです。なぜ重要かというと、早ければ常に十分というわけではなく、本人が取れる行動、情報の確度、通知による弊害を比較する必要があるためです。各行で、通知を急ぐ理由と慎重に設計する理由を並べて確認してください。
| 判断要素 | 確認事項 |
|---|---|
| 本人が取れる自衛措置 | パスワード変更、カード停止、口座確認、フィッシング警戒などが今すぐ必要か。 |
| 二次被害の切迫性 | 不正利用、詐欺メール、なりすまし、公開掲示板掲載などがあるか。 |
| 情報の確度 | 対象者、漏えい項目、原因、リスクの説明が最低限可能か。 |
| 通知による弊害 | 未対策の脆弱性を知らせるか、漏えいデータの拡散を促すか。 |
| 委員会報告との整合 | 速報、確報、本人対応の実施状況、公表予定と矛盾しないか。 |
| 顧客対応体制 | 問い合わせ窓口、本人確認手順、FAQ、エスカレーション先が準備できているか。 |
本人が理解し、具体的に行動できる文面にすることが通知義務の中核です。
本人通知には、個人情報保護委員会への報告事項をすべて書く必要はありません。本人の権利利益を保護するために必要な範囲で、事故概要、対象データ、原因、二次被害のおそれ、本人が取るべき対応、問い合わせ窓口を平易に伝えることが重要です。
次の比較表は、本人通知に含める主な事項と実務上の説明を整理したものです。なぜ重要かというと、対象者ごとに漏えい項目が違う場合、一律の最大リスク通知では過度な不安や誤解を招くためです。左列で通知事項、右列で本人に伝えるべき実務内容を確認してください。
| 通知事項 | 実務上の説明 |
|---|---|
| 概要 | いつ、どのような事故が判明したのか。誤送信、不正アクセス、媒体紛失、設定ミスなどを簡潔に説明します。 |
| 漏えい等した個人データの項目 | 氏名、住所、メールアドレス、カード情報、健康情報など、本人に関係する項目を示します。 |
| 原因 | 誤操作、設定不備、不正アクセス、マルウェア、委託先事故などを説明します。ただし攻撃手法を過度に詳述する必要はありません。 |
| 二次被害またはそのおそれ | 不正利用、詐欺メール、なりすまし、ポイント不正利用など、想定される被害を示します。 |
| その他参考となる事項 | 本人が取るべき措置、問い合わせ窓口、カード会社への連絡、パスワード変更、不審連絡への警戒を案内します。 |
次の一覧は、本人通知文の標準構成を表しています。なぜ重要かというと、事実、リスク、本人の対応、事業者側の対応を分けて書くことで、本人が必要な行動を取りやすくなるためです。順番は読み手が理解しやすい流れを示しています。
事故発生・判明の概要、対象となる本人の範囲、漏えい等した項目を最初に示します。
原因、二次被害の有無または可能性、不審メールやなりすましへの注意点を説明します。
本人にお願いする対応、事業者側の対応、問い合わせ窓口、追加情報の提供予定を明確にします。
本人通知は、本人に直接知らしめることが基本です。郵送や電子メールが典型ですが、口頭で伝える場合でも、本人が後から内容を確認できるように書面または電子メール等を併用することが望ましい場面があります。公表は二次被害防止や類似事案防止の観点で重要な場合がありますが、本人通知の代替措置として認められるかは、本人への通知が困難かどうかを含めて慎重に整理します。
以下は一般的な構成例です。実際の事案では、漏えい項目、原因、本人が取れる対応、補償や支援策、問い合わせ体制を個別に調整する必要があります。
件名 ― 個人データの漏えい等に関するお知らせ
〇〇様
このたび、当社が管理する個人データの一部について、第三者による不正アクセスにより外部に流出したおそれがあることが判明しました。
1. 事案の概要
当社は、〇年〇月〇日、当社システムに対する不正アクセスの痕跡を確認しました。直ちに外部からのアクセスを遮断し、専門機関の協力を得て調査を開始しています。
2. 対象となる情報
〇〇様について対象となる可能性がある情報は、氏名、メールアドレス、電話番号です。現時点で、クレジットカード番号、金融機関口座情報、本人確認書類画像は対象に含まれていないことを確認しています。
3. 二次被害のおそれ
現時点で不正利用の事実は確認していません。ただし、不審なメール、SMS、電話等を受けた場合には、本文中のリンクを開かず、認証情報や決済情報を入力しないようご注意ください。
4. お問い合わせ窓口
〇〇株式会社 個人データ事故対応窓口
メール ― privacy-incident@example.co.jp
受付時間 ― 平日〇時〜〇時
委託先事故でも、委託元の報告・本人通知義務が問題になることがあります。
委託先、クラウド、配送、グループ会社が関係する事故では、誰が個人データを取り扱い、誰が委員会報告や本人通知を行うのかを早期に整理する必要があります。契約で事故対応を委託先に任せていても、法令上の義務主体が当然に消えるわけではありません。
次の比較表は、関係者別に整理すべきポイントを示しています。なぜ重要かというと、委託元・委託先・クラウド提供者・配送事業者では、個人データの取扱いへの関与が異なるためです。各行で、事故時に誰から誰へ何を通知し、どの証跡を集めるかを確認してください。
| 場面 | 整理すべきポイント | 実務対応 |
|---|---|---|
| 委託元・委託先 | 原則として双方に報告・本人通知義務が問題になりますが、委託先から委託元への速やかな通知により整理される場合があります。 | 通知期限、通知事項、ログ提出、本人通知文、公表文、費用負担、再委託先連絡経路を契約で明確にします。 |
| クラウド | クラウド提供者が個人データを取り扱わない設計の場合、利用事業者側の報告義務が中心になります。 | 設定ミス、アクセス権限、暗号鍵、退職者アカウント、ログ監視、SaaS設定を確認します。 |
| 配送 | 配送事業者は通常、配送物の中身を関知しないため、依頼事業者側の対応が問題になります。 | 宛名ラベル、封入、追跡番号、返戻対応、本人確認書類の同封、配送方法を確認します。 |
| グループ会社 | 法人格が異なる会社間共有は、第三者提供や共同利用の問題になり得ます。 | 共同利用の管理責任者、通知主体、対象者への説明、海外拠点の関与を整理します。 |
次の重要ポイントは、直接通知が困難な場合の代替措置を表しています。なぜ重要かというと、費用や炎上懸念だけでは通知困難とはいえず、本人の権利利益保護の観点から代替措置を設計する必要があるためです。連絡先の有無、古さ、複数手段の有無を確認してから判断します。
事故後の対応品質は、平時の台帳、規程、文面、訓練で大きく変わります。
事故発覚後は、通知文作成だけに集中すると証拠保全や被害拡大防止が遅れるおそれがあります。初動では、システム遮断、権限停止、ログ保全、委託先照会、報告対象事態の暫定判定、本人に直ちに自衛措置を促す必要性の評価を同時に進めます。
次の一覧は、事故発覚後に社内で整備すべき体制を表しています。なぜ重要かというと、データ台帳や通知文の型がないと、対象者の特定、通知内容の切り分け、期限管理、問い合わせ対応が遅れるためです。4つの項目を平時から準備できているか確認してください。
判定基準、社内エスカレーション、休日夜間連絡、証拠保全、本人通知・公表の承認手順を定めます。
初動データ項目、本人区分、件数、要配慮情報、決済情報、保存場所、委託先、国外移転、暗号化状況を記録します。
特定本人通知文、委託元・委託先通知、速報メモ、公表文、FAQ、窓口応対文を事前に準備します。
文面ランサムウェア、誤送信、クラウド設定ミス、内部不正、媒体紛失など複数シナリオで訓練します。
訓練次の比較表は、業種・情報類型ごとの注意点を整理しています。なぜ重要かというと、医療情報、決済情報、従業員情報、未成年者情報、マイナンバーでは、本人への影響や関係法令が大きく異なるためです。左列の場面ごとに、通知内容と支援策を変える必要があるかを見てください。
| 場面 | 注意点 |
|---|---|
| 医療・介護・薬局 | 診療情報、調剤情報、病歴、検査結果、障害情報は要配慮個人情報に該当し得ます。少数でも軽視できません。 |
| EC・決済・金融 | カード番号、決済アカウント、銀行口座、ログインID・パスワード、本人確認書類は財産的被害につながります。 |
| 人事・労務 | 健康診断、休職、給与、評価、懲戒、マイナンバー、扶養家族情報では職場内の二次的なプライバシー侵害にも注意します。 |
| 教育・未成年者 | 児童生徒の氏名、住所、成績、進路、健康情報、顔写真、保護者情報では保護者への説明も重要です。 |
| 国際案件 | 海外拠点、海外委託先、外国クラウド、越境移転、海外ユーザーが関わる場合、日本法だけで判断するのは危険です。 |
本人通知義務違反それ自体が、常に直ちに刑事罰へ直結するわけではありません。ただし、報告徴収・立入検査への不対応、虚偽報告、命令違反などは別途問題になり得ます。通知の遅延や説明不足は、民事上の損害賠償請求、契約違反、取引先対応、監査、株主・投資家対応、採用・人事上の信頼低下にもつながるため、事故後の説明品質が重要です。
事業者側と本人側の両方で、確認項目と記録を残すことが重要です。
本人通知を受け取った側は、通知が本物か、どの情報が対象か、どの二次被害が想定されるか、どの自衛措置が必要かを確認します。事業者側は、報告・本人通知の要否判定、本人通知文の正確性、窓口対応、委託先との責任分担、再発防止策を記録します。
次の比較表は、事業者側と本人側のチェック項目を並べたものです。なぜ重要かというと、通知義務は事業者の手続であると同時に、本人が被害拡大を防ぐための情報提供でもあるためです。左右を見比べ、どちらの立場でも記録と証拠保存が重要であることを読み取ってください。
| 立場 | 確認すべき項目 |
|---|---|
| 事業者側 | 個人データ該当性、漏えい等のおそれ、4類型該当性、高度な暗号化の有無、委託関係、速報期限の起算点、本人通知の時期・内容・方法。 |
| 本人側 | 通知の真偽、対象情報、パスワード再利用、カード・口座・ポイントの履歴、不審メールやSMS、事業者とのやり取りの保存。 |
| 共通 | 時系列、証拠、問い合わせ記録、追加連絡の予定、被害発生の有無、専門家へ相談する必要性。 |
次の重要ポイントは、弁護士等の専門家への相談を検討する場面を表しています。なぜ重要かというと、本人通知の要否、通知文、公表、損害賠償、委託先責任、海外当局対応は個別事情で結論が変わりやすいためです。重大情報、実害、説明不足、規制当局対応の有無を中心に確認してください。
金銭被害、本人確認書類・医療情報・未成年者情報の漏えい、説明の矛盾、対象者確認不能、不正利用の継続、補償内容への疑問がある場合です。
報告対象事態の判断が難しい、不正アクセスや委託先事故が疑われる、速報期限が迫る、本人通知文や公表文に法的リスクがある場合です。
通知文、メールヘッダー、やり取り、利用明細、警察やカード会社への連絡記録、スクリーンショット、時系列メモを保存します。
FAQは一般的な制度説明であり、個別事案の結論を示すものではありません。
一般的には、1,000人超は報告対象事態の一類型にすぎないとされています。要配慮個人情報、財産的被害のおそれ、不正目的類型に該当する場合、人数が少なくても報告や本人通知が問題になる可能性があります。ただし、情報の内容、原因、暗号化状況、委託関係によって判断が変わるため、具体的な対応は資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、公表は本人通知そのものとは別の対応とされています。本人への通知が困難で、本人の権利利益保護のため必要な代替措置を講じる場合には公表が代替措置となることがあります。ただし、連絡先の有無、連絡手段、対象者の特定状況によって結論が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、高度な暗号化等に該当するかは、事故時点の技術水準、暗号方式、鍵管理、復号可能性、鍵の漏えい有無などから具体的に判断されます。単なるパスワード保護だけで常に安全といえるわけではありません。具体的な対応は、技術資料と事故状況を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、本人通知は確報まで待つ制度ではなく、当該事態の状況に応じて速やかに行うものとされています。ただし、通知時点の情報の確度、本人が取れる自衛措置、通知による弊害、二次被害の切迫性によって適切な時期は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。