コラム
個人情報漏洩時の報告 30日以内に延長へ 事後報告よりも漏洩対策を
政府は「医療データなどの個人情報が漏洩した場合に、本人通知や原因究明の対策が十分な企業を対象に、個人情報保護委員会への3〜5日以内の報告義務を原則30日以内に延ばす。」との方針を示しました。
この発表により、企業側は、漏洩後の報告に作業を費やすよりも、情報管理の対策を万全に行うことの付加価値がさらに高まりました。
実際に漏洩が発生してしまった場合には、企業は個人情報保護委員会への報告及び本人の通知をしなければならず、消費者や取引先からの信頼を喪失し、経営悪化へと直結します。
本コラムでは、個人情報漏洩後の報告義務について解説し、今回の法改正についてご案内いたします。
目次
1.個人情報漏洩後の報告
個人情報が漏洩してしまった場合、企業は、個人情報保護法に従って、個人情報保護委員会に報告が求められています。
規則第8条(第1項)
引用元:「個人情報の保護に関する法律についてのガイドライン(通則編)」
1.個人情報取扱事業者は、法第26条第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
(1)概要
(2)漏えい等が発生し、又は発生したおそれがある個人データ(前条第 3 号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目
(3)漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4)原因
(5)二次被害又はそのおそれの有無及びその内容
(6)本人への対応の実施状況
(7)公表の実施状況
(8)再発防止のための措置
(9)その他参考となる事項
報告は、“速報”と“確報”の二段階で、行う必要があります。
速報は、その報告をしようとしている時点で、把握している内容について、確報は、すべての報告事項について、報告を行わなければなりません。
この速報の報告期限が3-5日以内、確報の期限は30日以内です。
漏洩による被害はいうまでもなく、こうした報告及び報告準備への作業は、企業にとって更なる負担を与えてしまいます。
2.第三者機関による認定企業への報告義務緩和
政府は、今回の改正法案により、第三者機関が本人通知や原因究明の対策が十分であると認められた企業の場合、委員会への速報が不要になり、原則30日以内の確報のみ必要にすると検討しています。
漏洩の発生前にまずは、対策を十分に行い、防止及び第三者機関への認定を受けることは、企業にとって大きなメリットであると言えます。
万が一、漏洩が発生したとしても、確報の準備を直ちに行うことができます。
3.報告義務が緩和する十分な対策とは
では、その「十分な本人通知や原因究明の対策」とは、どのようなものでしょうか。
対策には、いくつか方法が考えられますが、端的に言えば、社内の「どの個人情報へ、誰が、いつ、アクセスしたのかを正確に把握し、いつでも追跡・チェックできる仕組みの構築」と考えられないでしょうか。
その仕組みの構築には、大きく分けて“個人情報へのアクセス記録の取得”と、“不要なアクセスを監視する機能”であると整理できます。
人為的な対策はもちろん必要ですが、それのみでは限界があり、上記の2つの仕組みを構築し、効率的で、瞬時に把握できるような自動化が求められます。
それを可能にしたのが、正に「BlackBoxSuite」そのものです。
4.まとめ
「十分な本人通知や原因究明の対策」の条件を満たすことで、報告義務の期限が延長になったと言えども、個人情報漏洩対策は、今後とも強化していくべきです。
その一環として、データへのアクセスを監視することが重要です。
データアクセスをすべて取得し、誰が・いつ・どこから・どのデータを・何件・何をしたかを即座に分析できる「Blackbox Suite」が重要であるとご理解いただけると思います。
お問い合わせはお気軽にどうぞ。