2σ Guide

個人情報保護委員会への
報告要件

個人データ事故が起きたとき、報告対象事態か、誰がどこへ報告するか、速報・確報と本人通知をどう進めるかを、企業法務と危機管理の実務に沿って整理します。

4類型報告対象事態の中核
3〜5日速報の実務目安
30/60日確報期限の基本
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

個人情報保護委員会への 報告要件

事故直後に迷いやすい報告対象事態、速報、確報、本人通知を全体像から確認します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
個人情報保護委員会への 報告要件
事故直後に迷いやすい報告対象事態、速報、確報、本人通知を全体像から確認します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 個人情報保護委員会への 報告要件
  • 事故直後に迷いやすい報告対象事態、速報、確報、本人通知を全体像から確認します。

POINT 1

  • 個人情報保護委員会への報告要件を最初に整理します
  • 事故直後に迷いやすい報告対象事態、速報、確報、本人通知を全体像から確認します。
  • 中心は個人データです
  • 四類型を確認します
  • 速報は全容解明後ではありません

POINT 2

  • 個人情報保護委員会への報告要件の法的根拠
  • 個人情報保護法第26条と規則上の報告対象事態を、本人通知や公表と分けて確認します。
  • 報告義務は、個人情報保護法第26条第1項と個人情報保護委員会規則第7条・第8条を中心に構成されます。
  • 報告対象事態に該当する場合は、原則として本人通知も必要になります。

POINT 3

  • 個人情報保護委員会への報告要件で見る基本概念
  • 個人情報、個人データ、個人情報取扱事業者、要配慮個人情報を区別します。
  • 報告義務の中心は、個人情報ではなく個人データです。
  • 左から概念、実務上の見方、事故時に確認する点を読むことで、対象情報が報告義務の土台に乗るかを確認できます。
  • 単なるメモか、体系的に検索できる情報かを丁寧に分けることが重要です。

POINT 4

  • 個人情報保護委員会への報告要件となる四類型
  • 要配慮個人情報、財産的被害、不正目的、本人1,000人超を具体例で確認します。
  • 事故直後は対象人数だけに目が向きがちですが、情報の性質や攻撃の有無によっては少人数でも報告対象になり得ます。
  • 報告対象事態は、確定的に漏えいした場合だけでなく、発生したおそれがある場合にも問題になります。
  • ただし抽象的な可能性だけでなく、ログ、アクセス権限、公開範囲、誤送信先、回収状況、攻撃痕跡などの客観的事情から評価します。

POINT 5

  • 個人情報保護委員会への報告要件で見る漏えい・滅失・毀損
  • 電子データ、紙、端末、クラウド、ランサムウェアを含めて安全確保に係る事態を整理します。
  • 漏えいは外部流出、滅失は内容の喪失、毀損は意図しない変更や利用不能状態を意味します。
  • 事故の性質によって必要な証拠や再発防止策が変わるため、どの列に近い事案かを読み取ることが重要です。
  • 暗号化されているという社内呼称だけでは足りません。

POINT 6

  • 個人情報保護委員会への報告要件では誰が報告するかを整理します
  • 委託元
  • 委託先で事故が起きても、委託元が取り扱う個人データとして報告義務が問題になります。
  • 委託先
  • 委託先自身にも報告義務が問題になります。

POINT 7

  • 個人情報保護委員会への報告要件と速報・確報期限
  • 1. 封じ込めと証拠保全:アクセス遮断、公開停止、誤送信先への削除要請、ログ・端末・メール・設定情報の保全を行います。
  • 2. 速報:判明している範囲で報告し、対象人数や原因が未確定なら調査中として記載します。
  • 3. 確報:通常類型では、合理的に把握できた事実、本人対応、再発防止策を整理して報告します。
  • 4. 不正目的類型の確報:不正アクセスやランサムウェアなど、不正目的のおそれがある場合は長い期限が問題になります。

POINT 8

  • 個人情報保護委員会への報告要件と本人通知を分けて考えます
  • 本人が二次被害を防ぐために、行政報告とは別の言葉で通知内容を整えます。
  • 報告対象事態に該当する場合、原則として本人通知も必要になります。
  • 本人通知の目的は、本人が自ら権利利益を保護し、二次被害を防止できるようにすることです。
  • 行政報告の内容をそのまま転記するのではなく、本人が理解できる表現に整えます。

まとめ

  • 個人情報保護委員会への 報告要件
  • 個人情報保護委員会への報告要件を最初に整理します:事故直後に迷いやすい報告対象事態、速報、確報、本人通知を全体像から確認します。
  • 個人情報保護委員会への報告要件の法的根拠:個人情報保護法第26条と規則上の報告対象事態を、本人通知や公表と分けて確認します。
  • 個人情報保護委員会への報告要件で見る基本概念:個人情報、個人データ、個人情報取扱事業者、要配慮個人情報を区別します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

個人情報保護委員会への報告要件を最初に整理します

事故直後に迷いやすい報告対象事態、速報、確報、本人通知を全体像から確認します。

個人情報保護委員会への報告要件は、個人データの漏えい、滅失、毀損その他の安全確保に関わる事態のうち、個人の権利利益を害するおそれが大きい類型に該当する場合に問題になります。すべての事故が報告対象になるわけではありませんが、要配慮個人情報、財産的被害、不正目的、本人1,000人超のいずれかに触れる場合は、初動から報告を前提に事実を整理する必要があります。

次の重要ポイント一覧は、報告要件を判断するときに最初に確認する観点を表しています。事故直後は情報が不足しやすいため、どの観点を優先して確認すべきかを読み取り、調査中の事項は調査中として記録することが重要です。

Target

中心は個人データです

単なる個人情報ではなく、個人情報データベース等を構成する個人データの漏えい等かを確認します。

Trigger

四類型を確認します

要配慮個人情報、財産的被害、不正目的、本人1,000人超のいずれかに該当するかを見ます。

Timing

速報は全容解明後ではありません

判明している範囲で速やかに報告し、未判明事項は確報又は補充報告で更新します。

実務上の結論は、調査が終わってから考えるのではなく、発見直後から報告要件を仮判定し、証拠保全、被害拡大防止、本人通知、公表、委託先対応を並行して進めることです。個人情報保護委員会への報告と本人通知は関連しますが、相手方と目的が異なる別の義務として整理します。

Section 02

個人情報保護委員会への報告要件で見る基本概念

個人情報、個人データ、個人情報取扱事業者、要配慮個人情報を区別します。

報告義務の中心は、個人情報ではなく個人データです。氏名やメールアドレスなどの情報が含まれていても、それが個人情報データベース等を構成しているか、どの事業者が事業として取り扱っているかを確認しなければ、報告要件の判断は安定しません。

次の比較表は、報告要件の前提になる基本概念を並べています。左から概念、実務上の見方、事故時に確認する点を読むことで、対象情報が報告義務の土台に乗るかを確認できます。

概念実務上の見方事故時の確認点
個人情報生存する個人に関する情報で、特定の個人を識別できるもの又は個人識別符号を含むものです。氏名の有無だけでなく、他情報との照合可能性を確認します。
個人情報データベース等検索できるよう体系的に構成された個人情報の集合です。顧客管理、会員管理、採用管理、メール配信リストなどを確認します。
個人データ個人情報データベース等を構成する個人情報です。CSV出力、Excel一覧、配送リスト、委託先へ渡した一覧も対象になり得ます。
個人情報取扱事業者個人情報データベース等を事業の用に供する者です。営利・非営利や規模だけで対象外とは判断できません。
要配慮個人情報病歴、健康診断結果、障害、犯罪歴など、不利益や差別につながりやすい情報です。人数が少なくても報告対象事態になり得るため、最初に有無を確認します。

実務では、顧客データベースから抽出した一覧、採用管理システムの応募者一覧、委託先へ渡した配送リスト、人事給与システムの従業員情報などが個人データに当たる可能性があります。単なるメモか、体系的に検索できる情報かを丁寧に分けることが重要です。

Section 03

個人情報保護委員会への報告要件となる四類型

要配慮個人情報、財産的被害、不正目的、本人1,000人超を具体例で確認します。

民間事業者の実務で特に重要な報告対象事態は、四つの類型に整理できます。事故直後は対象人数だけに目が向きがちですが、情報の性質や攻撃の有無によっては少人数でも報告対象になり得ます。

次の比較表は、四類型の意味と典型例を並べたものです。どの類型に当たるかによって調査優先度、本人通知の表現、確報期限が変わるため、各行の情報の性質とリスクを読み取ることが重要です。

類型実務上の意味典型例初動で見る点
要配慮個人情報本人への不利益や差別につながりやすい情報を含みます。健康診断結果、障害情報、病歴、ハラスメント相談、犯罪被害情報です。対象者が1名でも報告対象となる可能性を確認します。
財産的被害のおそれ金銭的被害に直結し得る情報を含みます。クレジットカード番号、決済サービスID、パスワード、認証情報です。情報の組み合わせで何ができるかを確認します。
不正目的のおそれ悪意ある行為による漏えい等が疑われます。不正アクセス、ランサムウェア、マルウェア、従業員持ち出し、盗難です。ログ、外部通信、脅迫文、内部不正の痕跡を保全します。
本人1,000人超影響を受ける本人の数が大きい場合です。大量顧客リスト、会員一覧、メール配信リスト、採用応募者一覧です。件数ではなく重複を除いた本人の数を確認します。

報告対象事態は、確定的に漏えいした場合だけでなく、発生したおそれがある場合にも問題になります。ただし抽象的な可能性だけでなく、ログ、アクセス権限、公開範囲、誤送信先、回収状況、攻撃痕跡などの客観的事情から評価します。

Section 04

個人情報保護委員会への報告要件で見る漏えい・滅失・毀損

電子データ、紙、端末、クラウド、ランサムウェアを含めて安全確保に係る事態を整理します。

漏えいは外部流出、滅失は内容の喪失、毀損は意図しない変更や利用不能状態を意味します。電子データだけでなく、紙、USBメモリ、PC、スマートフォン、印刷物、クラウドストレージ、メール、チャットも対象になり得ます。

次の比較表は、漏えい、滅失、毀損の違いと典型例を表しています。事故の性質によって必要な証拠や再発防止策が変わるため、どの列に近い事案かを読み取ることが重要です。

区分意味典型例注意点
漏えい個人データが外部に流出することです。誤送信、誤送付、公開設定ミス、不正アクセス、盗難、外部持ち出しです。第三者が閲覧又は取得できた可能性を確認します。
滅失個人データの内容が失われることです。誤削除、媒体破壊、バックアップ不備、システム障害です。復元可能性と外部流出の有無を分けて確認します。
毀損内容が意図せず変更される、又は利用不能になることです。データ改ざん、ランサムウェア暗号化、データベース破損です。業務影響だけでなく、漏えいのおそれも併せて確認します。
高度な暗号化等第三者が容易に内容を閲覧できない状態です。適切な暗号化、復号鍵の別管理、MDM、リモートワイプです。暗号方式、鍵管理、パスワード同梱の有無を確認します。

暗号化されているという社内呼称だけでは足りません。復号鍵が同じ端末にある、パスワードが同梱されている、簡単に推測できる、ログイン状態で紛失した、といった事情があれば報告不要とする判断は慎重に行う必要があります。

Section 05

個人情報保護委員会への報告要件では誰が報告するかを整理します

自社、委託元、委託先、クラウド事業者、共同利用先、事業所管大臣を早期に切り分けます。

報告義務を負う主体は、原則として漏えい等が発生した個人データを取り扱う個人情報取扱事業者です。委託先、クラウド事業者、配送・印刷・BPO、共同利用先、グループ会社が関係する場合は、契約と実態を見て責任分担を整理します。

次の一覧は、事故関係者ごとの確認事項を表しています。誰が報告するかを早く決めることは、速報期限、本人通知、取引先説明の遅れを防ぐうえで重要です。

委託元

委託先で事故が起きても、委託元が取り扱う個人データとして報告義務が問題になります。委託先からの事実提供を急ぎます。

委託先

委託先自身にも報告義務が問題になります。委託元へ通知した場合、委託先の行政報告義務が一定範囲で免除される構造があります。

クラウド事業者

単なるインフラ提供か、データ内容を取り扱う立場かを確認します。契約上の通知義務やログ提供義務も別途確認します。

共同利用先

管理責任者、アクセス権限、本人対応の分担を整理し、共同報告や各社別報告の必要性を検討します。

権限委任がある事業分野では、報告先が個人情報保護委員会ではなく事業所管大臣になる場合があります。金融、通信、放送、郵便、信用、特定分野の規制業種では、事故時点の最新の案内と提出フォームを確認する必要があります。

Section 06

個人情報保護委員会への報告要件と速報・確報期限

速報は概ね3日から5日以内、確報は30日以内又は60日以内という時間軸で管理します。

速報は、報告対象事態を知った後、速やかに行います。実務上の目安は概ね3日から5日以内です。確報は原則として30日以内、不正目的類型に該当する場合は60日以内です。期限は営業日感覚ではなく、カレンダー日を前提に管理します。

次の時系列は、事故発見後にどの順番で対応を進めるかを表しています。上から下へ時間が進むため、速報が全容解明後の作業ではなく、調査と並行して行う対応であることを読み取ることが重要です。

発見直後

封じ込めと証拠保全

アクセス遮断、公開停止、誤送信先への削除要請、ログ・端末・メール・設定情報の保全を行います。

概ね3日から5日以内

速報

判明している範囲で報告し、対象人数や原因が未確定なら調査中として記載します。

30日以内

確報

通常類型では、合理的に把握できた事実、本人対応、再発防止策を整理して報告します。

60日以内

不正目的類型の確報

不正アクセスやランサムウェアなど、不正目的のおそれがある場合は長い期限が問題になります。

複数類型に該当し、その中に不正目的類型が含まれる場合は、60日以内の確報期限を意識します。事故発見時点で対象データ、人数、原因、再発防止策、本人対応が十分に分かっている場合は、速報と確報を兼ねることもあります。

Section 07

個人情報保護委員会への報告要件で整理する九つの報告事項

概要、対象データ、本人の数、原因、二次被害、本人対応、公表、再発防止策をそろえます。

個人情報保護委員会への報告では、事故対応の骨格となる事項を体系的に記載します。これらはフォームを埋めるためだけの項目ではなく、本人通知、経営報告、取引先説明、再発防止策の整合性を保つための共通軸です。

次の比較表は、報告事項と実務上確認すべき内容を表しています。各行は事故対応チームが集めるべき情報を示しており、空欄が多い項目ほど追加調査や関係部門への確認が必要です。

報告事項確認すべき内容
概要発生日、発覚日、発覚経緯、事案概要、該当類型、委託関係、時系列です。
個人データの項目氏名、住所、メール、電話、顧客ID、注文履歴、健康情報、認証情報などです。
本人の数実人数、最大見込み、重複除外方法、不明な場合の推計根拠です。
原因誤操作、設定不備、アクセス権限管理不備、不正アクセス、マルウェア、内部不正などです。
二次被害又はそのおそれ不正利用、なりすまし、詐欺メール、金銭被害、差別、不利益などです。
本人への対応通知の有無、通知方法、通知時期、相談窓口、本人が注意すべき事項です。
公表の状況公表の有無、予定、理由、掲載場所、メディア対応、適時開示との関係です。
再発防止策技術的、組織的、人的、物理的な対策、委託先管理、教育、監査です。
その他警察相談、他官庁報告、外国当局報告、保険、第三者調査などです。

速報では未判明事項が残ることがあります。その場合は未確認のまま断定せず、調査中と明記し、確報又は補充報告で更新する運用にします。

Section 08

個人情報保護委員会への報告要件と本人通知を分けて考えます

本人が二次被害を防ぐために、行政報告とは別の言葉で通知内容を整えます。

報告対象事態に該当する場合、原則として本人通知も必要になります。本人通知の目的は、本人が自ら権利利益を保護し、二次被害を防止できるようにすることです。行政報告の内容をそのまま転記するのではなく、本人が理解できる表現に整えます。

次の一覧は、本人通知で整理する観点を表しています。本人にとって重要なのは、何が起きたかだけでなく、自分にどのような影響があり、何に注意すればよいかを読み取れることです。

1

事案の概要

発生時期、判明時期、事案の概要、対象となる本人の範囲を簡潔に説明します。

事実関係
2

対象情報

氏名、住所、メール、決済情報、健康情報など、漏えい等した個人データの項目を示します。

情報項目
3

影響と注意点

二次被害又はそのおそれ、不審メール、カード利用明細確認、問い合わせ窓口などを伝えます。

注意喚起
4

会社の対応

封じ込め、原因調査、再発防止策、追加連絡の予定を、過不足なく説明します。

再発防止

通知方法は、郵送、電子メール、会員ページ、アプリ通知、電話、対面説明などが考えられます。通知が困難な場合は、ウェブサイトでの公表、問い合わせ窓口の設置、報道発表などの代替措置を検討します。

Section 09

個人情報保護委員会への報告要件を判断する流れ

個人データ該当性、漏えい等の有無、四類型、主体、期限の順に確認します。

判断の流れは、事故・異常の発見から始まり、個人データが関係するか、漏えい等又はそのおそれがあるか、四類型に該当するか、誰がどこへ報告するか、いつ速報・確報を行うかへ進みます。順番を固定しておくことは、初動の抜け漏れを防ぐうえで重要です。

次の判断の流れは、分岐ごとに何を確認すべきかを示しています。上から下へ進み、四類型のいずれかに該当する場合は報告対象事態として扱い、報告主体と報告先を整理する点を読み取ってください。

報告対象事態の判断手順

事故・異常を発見

発見日時、検知者、検知方法、対象システムを記録します。

個人データが関係するか確認

個人情報データベース等を構成する情報かを確認します。

漏えい・滅失・毀損又はそのおそれがあるか

公開範囲、外部通信、誤送信先、回収状況、ログを見ます。

該当あり
四類型を確認

要配慮、財産的被害、不正目的、本人1,000人超を見ます。

該当なし
記録して再発防止

報告不要判断の根拠を残し、必要な社内対応を行います。

報告主体・報告先・期限を決定

委託元、委託先、共同利用、権限委任先、速報と確報を整理します。

調査が終わっていないことは、速報を先送りする理由にはなりません。未判明事項は未判明として扱い、現時点で確認できた客観的事情をもとに報告要否を判断します。

Section 10

個人情報保護委員会への報告要件を典型事例で確認します

メール誤送信、ランサムウェア、端末紛失、内部持ち出し、クラウド設定ミスを見ます。

典型事例ごとに見るべき情報は異なります。メール誤送信では対象情報と削除確認、ランサムウェアでは外部流出のおそれと毀損、端末紛失では暗号化と鍵管理、内部持ち出しでは不正目的、クラウド設定ミスでは公開範囲とアクセスログが重要です。

次の一覧は、代表的な事故類型と判断ポイントを整理したものです。事例名だけで報告要否を決めるのではなく、対象情報、人数、不正目的、回収可能性、証拠の有無を読むことが重要です。

M

メール誤送信

要配慮個人情報、決済・認証情報、本人1,000人超、誤送信先の属性、削除確認を確認します。

誤送信
R

ランサムウェア

暗号化による毀損、データ窃取のおそれ、外部通信、脅迫文、リークサイト掲載情報を確認します。

不正目的
P

ノートPC・USB紛失

保存データ、暗号化、復号鍵の別管理、端末ロック、リモートワイプ、認証情報の同時紛失を確認します。

媒体管理
I

従業員持ち出し

顧客リスト、外部送信履歴、USB接続履歴、退職前後のアクセス、営業秘密や労務対応も確認します。

内部不正
C

クラウド設定ミス

公開範囲、公開期間、アクセスログ、検索インデックス、URLの推測可能性、対象人数を確認します。

設定不備
H

健康診断結果の誤交付

要配慮個人情報を含むため、対象者が少なくても報告対象事態となる可能性を検討します。

要配慮

メールアドレス単体の漏えいは、直ちに財産的被害のおそれの類型に該当しない場合があります。ただし本人の数が1,000人を超える場合、不正目的の攻撃で取得されたおそれがある場合、他の情報と結び付く場合は、別類型を含めて検討します。

Section 11

個人情報保護委員会への報告要件は部門横断で対応します

法務、プライバシー、セキュリティ、経営、広報、事業部、委託先管理の役割を決めます。

報告要件の判断と対応は、単一部門では完結しません。法務だけでは技術的な漏えい可能性を判断できず、セキュリティだけでは本人通知や当局報告の表現を整理しきれないため、平時から役割分担を決めておく必要があります。

次の比較表は、事故対応時の主な役割と責任を表しています。どの部門が何を担うかを読み取ることで、発見直後の連絡漏れや意思決定の遅れを防ぎます。

役割主な責任
経営陣・取締役重大事故の意思決定、資源投入、公表方針、再発防止策の監督を担います。
法務責任者・法務担当法的評価、報告要否判断、当局対応、契約責任、本人通知文の確認を担います。
プライバシー担当データマッピング、対象者特定、本人通知、プライバシーポリシーとの整合性を確認します。
情報セキュリティ担当封じ込め、原因調査、ログ解析、攻撃範囲特定、技術的再発防止策を担います。
広報・IR公表文、メディア対応、上場会社の適時開示、ステークホルダー説明を担います。
事業部門・委託先管理担当対象データの意味、顧客対応、取引先調整、委託先からの情報取得を担います。

平時には、インシデント対応規程、緊急連絡網、RACI、当局報告判断の手順、外部専門家の連絡先、報告様式、本人通知文の骨子を準備しておくことが重要です。

Section 12

個人情報保護委員会への報告要件に備える初動チェック

発見直後、速報期限まで、確報まで、事後対応の順番で対応を進めます。

事故対応では、発見直後の数時間で証拠保全や被害拡大防止の質が決まります。報告要件を判断するためにも、対象データ、対象人数、四類型、委託関係、報告先、本人通知を早期に整理する必要があります。

次の時系列は、初動から事後対応までの作業を順番に並べたものです。上から下へ進むほど調査が深まるため、各段階で何を終えておくべきかを読み取ってください。

発見直後

記録・封じ込め・保全

検知日時、検知者、検知方法を記録し、公開停止、アクセス遮断、ログ保全を行います。

速報期限まで

四類型と報告先を仮判定

要配慮、財産的被害、不正目的、本人1,000人超、委託関係、権限委任先を確認します。

確報まで

原因と対象範囲を整理

実人数、二次被害、本人通知、再発防止策、経営報告、取引先説明を整えます。

事後対応

再発防止と監査

規程、契約、アクセス権限、教育、委託先管理を見直し、対応記録を保存します。

初動で最も避けたいのは、調査のためにログを上書きすること、証拠を消すこと、関係者の連絡が遅れること、速報期限を営業日ベースで誤認することです。

Section 13

個人情報保護委員会への報告要件に該当しない場合の記録

報告不要でも、判断根拠、本人対応、契約上の通知、再発防止を残します。

報告対象事態に該当しないと判断する場合でも、何もしなくてよいわけではありません。後日、本人、取引先、当局、監査、裁判で判断根拠を問われる可能性があるため、報告不要の理由を記録しておく必要があります。

次の重要項目一覧は、報告不要判断を残すときの記録事項を表しています。各項目を埋めることで、報告しなかった理由と社内対応の妥当性を後から説明できます。

対象情報

個人データ該当性、情報項目、要配慮個人情報、認証情報、本人確認書類の有無を記録します。

漏えい等のおそれ

外部流出可能性、削除確認、回収確認、アクセスログ、暗号化、鍵管理の根拠を残します。

四類型の評価

要配慮、財産的被害、不正目的、本人1,000人超の各該当性を個別に確認します。

社内外対応

本人通知、公表、取引先通知、契約上の報告義務、任意報告の要否を記録します。

社会的影響が大きい、本人から多数の問い合わせがある、サイバー攻撃の全容が不透明、報告対象事態該当性に相当の疑義がある場合は、法定義務に当たらなくても任意報告を検討することがあります。

Section 14

個人情報保護委員会への報告要件と他法令・マイナンバー

特定個人情報、業法、海外当局、民事・行政・刑事責任を横断して確認します。

マイナンバーを含む特定個人情報が関係する場合は、個人情報保護法上の報告義務と、マイナンバー法・関連ガイドライン上の報告義務を別々に検討します。金融、保険、医療、通信、教育、決済、上場会社などでは、業法や監督指針、上場規則、契約、認証制度も関係します。

次の比較表は、個人情報保護委員会への報告以外に確認すべき制度を表しています。事故対応では、どの制度が重なっているかを読み取り、提出先、期限、説明内容を分けて管理することが重要です。

領域確認する制度実務上の注意点
マイナンバーマイナンバー法、特定個人情報ガイドライン該当フォームや特定個人情報を含む可能性がある場合の案内を確認します。
業法金融、医療、通信、決済、教育、行政受託などの監督規制個人情報保護委員会とは別の報告先と期限があるかを確認します。
海外GDPR、英国法、米国州法、アジア各国の法制海外居住者、海外子会社、海外クラウド、越境移転を確認します。
責任追及民事責任、行政責任、刑事責任、労務、契約責任本人請求、取引先請求、委託先求償、役員責任、虚偽報告を確認します。

当局報告では、事実を過小評価したり、未確認事項を断定したりしないことが重要です。日本法、外国法、契約、業界規制を横断するため、グローバル企業ではインシデント対応プロトコルを整えておく必要があります。

Section 15

個人情報保護委員会への報告要件に備える実務文書

該当性メモ、速報作成メモ、本人通知文の骨子を平時から準備します。

報告要件の判断では、短時間で正確な情報を集め、未判明事項を明示しながら意思決定する必要があります。そのため、事故が起きてから白紙で文書を作るのではなく、平時から社内検討用の文書骨子を準備しておくことが重要です。

次の一覧は、社内で準備したい三つの文書と記載項目を表しています。各文書の目的を読み取り、事故対応時にどの情報をどこへ集約するかを決めておくと、速報や本人通知の品質が安定します。

Memo

報告対象事態該当性メモ

事案概要、対象情報、漏えい等の有無、四類型、報告主体、報告先、結論を整理します。

Report

速報作成メモ

概要、個人データの項目、本人の数、原因、二次被害、本人対応、公表、再発防止策を記録します。

Notice

本人通知文の骨子

対象者、対象情報、原因、二次被害のおそれ、本人に確認してほしい事項、問い合わせ窓口を整理します。

実際の提出フォーム、法令、ガイドライン、事案の性質によって必要項目は変わります。文書骨子は、提出用の完成文書ではなく、社内で事実、判断、未判明事項を集約するための土台として扱います。

注意本人通知文では、攻撃者に有益な技術情報、未修正の脆弱性、他の被害者を危険にさらす情報を不用意に開示しない配慮も必要です。
Section 16

個人情報保護委員会への報告要件に関するFAQ

よくある誤解を、一般的な制度説明として整理します。

1人だけなら報告不要ですか

一般的には、対象者が1人でも、要配慮個人情報、財産的被害のおそれ、不正目的のおそれに該当する場合は報告対象事態になり得るとされています。ただし、対象情報、事故態様、証拠関係によって判断は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

メールアドレスだけなら絶対に報告不要ですか

一般的には、メールアドレスだけでは直ちに財産的被害のおそれの類型に該当しない場合があります。ただし、本人の数が1,000人を超える場合、不正目的の攻撃で取得されたおそれがある場合、他の情報と結び付く場合には結論が変わる可能性があります。

暗号化していれば報告不要ですか

一般的には、高度な暗号化と適切な鍵管理により第三者が容易に閲覧できない場合、報告対象事態に該当しないと評価されることがあります。ただし、暗号方式、鍵管理、パスワード同梱、ログイン状態、認証情報の同時漏えいによって判断が変わります。

委託先の事故は委託先だけが報告しますか

一般的には、委託元と委託先の双方に報告義務が問題となります。ただし、委託先が委託元へ通知した場合、委託先自身の個人情報保護委員会への報告義務が一定範囲で免除される制度構造があります。契約関係とデータ取扱いの実態を確認する必要があります。

調査が終わるまで速報しなくてよいですか

一般的には、速報は判明している範囲で速やかに行うものとされています。全容解明を待つ制度ではありません。未判明事項は調査中と記載し、確報又は補充報告で更新する対応が考えられます。

報告すれば本人通知は不要ですか

一般的には、報告対象事態では本人通知も必要になるとされています。行政報告と本人通知は相手方と目的が異なる別の義務です。本人通知の方法や内容は、対象者、情報項目、二次被害のおそれ、通知困難性によって変わります。

Section 17

個人情報保護委員会への報告要件を平時の体制に落とし込みます

データ、契約、システム、規程、教育、ログ、経営報告を数時間単位で動く仕組みにします。

個人情報保護委員会への報告要件は、単なる行政手続ではありません。個人データ事故が発生したときに、企業がどれだけ正確に事実を把握し、本人の権利利益を守り、行政当局に説明し、再発防止を実行できるかを問う危機管理制度です。

次の重要ポイントは、平時に整備しておくべき体制を表しています。事故後の場当たり的な判断を避けるため、データ、契約、システム、規程、教育、ログ、経営報告を一体で整える必要があることを読み取ってください。

数時間単位で判断できる体制を作ります

事故発生後に報告すべきかを初めて考えるのではなく、平時から四類型、速報・確報期限、本人通知、証拠保全、委託先通知、経営報告を標準手順に落とし込みます。

実務上の核心は、個人データの漏えい等又はそのおそれを確認し、四類型を検討し、速報と確報の期限で動き、誰がどこへ報告するかを整理し、本人通知、被害拡大防止、公表、再発防止、証拠保全を並行して進めることです。

Reference

参考資料

公的資料を中心に、報告要件の確認に使う資料名を整理します。

法令

  • e-Gov法令検索「個人情報の保護に関する法律」
  • e-Gov法令検索「個人情報の保護に関する法律施行規則」

個人情報保護委員会資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
  • 個人情報保護委員会「権限の委任」
  • 個人情報保護委員会FAQ「個人情報取扱事業者等が個人情報保護法に違反した場合の措置」