執筆:弁護士 阿久津 透( AI・データ(個人情報等)チーム )
2023年11月15日に、電子商取引(EC)サイトに不正なプログラムを仕掛け、利用客のクレジットカード情報を抜き取る「ウェブスキミング」と呼ばれる犯罪が初摘発されたとの報道がありました(2023年11月15日日本経済新聞:
https://www.nikkei.com/article/DGXZQOUE153F20V11C23A1000000/ )
個人情報保護法には、漏えい等が生じた場合の報告・通知義務が定められていますが、多様化する昨今の漏えい等の事案を踏まえ、報告に関する規則が改正され、2024年4月1日から施行されています。
本記事では、改正点を踏まえ、どのような場合に何に気をつけなければならないかを整理しながら、規制と実務のポイントを詳しく解説いたします。
1.規則・ガイドラインの改正
個人情報保護法は、個人データの漏えい等が生じた場合には、個人情報保護委員会に通報し、また本人に通知しなければならないと定めています(第26条)。通報・通知の対象となる事案については、規則第7条が詳細を定めており、今回この規則第7条が改正されました。
第7条 法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
①要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」とい う。)が発生し、又は発生したおそれがある事態
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
今回の改正では、上記の③が改正されています。
③不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
この改正のポイントは、従来は個人データの漏えい等だけが報告・通知の対象となっていたが、一定の個人情報の漏えい等も報告・通知の対象となった、という点にあります。
この改正の意味を理解するためには「個人情報」と「個人データ」の区別が重要になってくるので、まずはその点から解説をしていきます。
2.個人情報と個人データ
(1)個人情報と個人データ
①個人情報とは
個人情報とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいいます(法第2条第1項)。
当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)
個人識別符号が含まれるもの
例えば、ジムがこのような利用者アンケートを行った際、ジムの利用者は生存する個人なので、このアンケートは「生存する個人に関する情報」にあたり、さらにアンケートに含まれる氏名や生年月日等の記載から「特定の個人を識別することができ」るため、このアンケート全体が「個人情報」となります。
②個人データとは
「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(第16条第3項)。
「個人情報データベース等」とは、個人情報を含む集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいいます(第16条第1項)。
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
先ほどのアンケートの例でいうと、下記の図のようにアンケートをデータ入力しリスト化したものが「個人情報データベース等」であり、このデータベースに含まれる個々の利用者(AAやBB)の情報が「個人データ」となります。
(2)規則第7条改正との関係
今までは不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態のみ報告の対象となっていました。しかし改正後は、データベース化される前の個人情報が直接流出するようなケースについても報告等の対象となりました。
また、その個人データが個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものも含まれるようになりました。
2.Webスキミングとの関係
Webスキミングとは、ECサイト等に不正なプログラムを仕掛け、そのサイト利用者のクレジット情報等を抜き取る行為です。
( 2023年11月15日日本経済新聞 の図表参照)
Webスキミングは、以下のようなECサイトのサーバーに対する不正アクセス事案とは異なり、ユーザーが入力した情報が直接不正なプログラムを仕掛けたものにわたることになります。
個人情報保護法との関係では、データベース化される前すなわち個人データになる前の段階で、情報が第三者にわたることになるため「個人データ」の漏えい等という法26条・規則7条が定める類型に該当しないこととなってしまいます。
これが、今回の改正で「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。」という一文が加わったことで、Webスキミングのようにデータベース化される前の個人情報の流出であっても、報告・通知の対象とされることになりました。
3.今後のアクション
個人情報の取扱いに関するマニュアルや規程を設けている事業者は、上記の改正に合わせてマニュアルに変更が必要かどうかを確認し、必要な場合には速やかに修正する必要があります。
また、今回の改正の影響は、社内のドキュメントの整理に留まりません。
個人情報保護法は、以下のような安全管理措置に関する条文を設けています。
第23条 (安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
この安全管理措置の中には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために、必要かつ適切な措置も含まれるため、Webスキミング対策も含めた体制整備を検討する必要があります(GL通則編3-4-2 )。
ユーザーが安心して利用できる環境を整えることはサービスを提供する事業者に取って非常に重要なポイントなので、上記の改正ポイントへの対応が完了しているか今一度確認してみてください。
