今日は、個人情報保護法の令和2年改正のうち、漏えい等の報告義務について整理してみます。
改正後の個人情報保護法26条1項で、個人データの漏えい、滅失、毀損等があった場合に、個人情報保護委員会への報告が義務付けられました。
報告義務を負うのは、漏えい等をした教職員ではなく、個人情報取扱事業者です。ここでは、学校法人のことだと思ってください。
これまでは、個人データの漏えい等があっても、個人情報保護委員会の告示で、努力義務として報告が求められていただけでした。
要するに、法的には、報告を強制されることはなかったということですね。
さて、改正法の下で報告義務が課されるのは、個人データの漏えい等のうち、次の(1)~(4)のいずれかに該当するものです。
いずれも、実際に漏えい等が生じた場合だけでなく、そのおそれがある場合も、報告義務の対象です。(個人情報保護法施行規則7条)
(1)要配慮個人情報が含まれる個人データの漏えい等
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの
漏えい等
(3)不正の目的をもって行われたおそれがある個人データの漏えい等
(4)1000人分を超える漏えい等
報告の期限は、次のとおりです。(個人情報保護法施行規則8条2項)
・上記(1)、(2)、(4)の場合 : 漏えい等の発生を把握した時(又はそのおそれが
あると把握した時)から30日以内
・上記(3)の場合 : 漏えい等の発生を把握した時(又はそのおそれがあると把握
した時)から60日以内
さらに、上記の(1)~(4)に該当する場合には、その個人データの本人にも通知をしなければなりません。
ただし、本人への通知が困難な場合には、本人の権利利益を保護するため必要な措置をとれば足りるとされています。(個人情報保護法26条2項)
「本人の権利利益を保護するため必要な措置」とは、事案の概要を公表し、問い合わせ窓口を設けることなどが考えられます。
細かいですが、漏えい等をした個人データが、他の個人情報取扱事業者や行政機関から委託を受けたものであるときは、速やかに委託元へ通知をすれば、個人情報保護委員会への報告は不要です。(個人情報保護法26条1項但書、施行規則9条)
個人情報保護委員会へは、委託元から報告すべき、ということですね。
なお、学校法人で個人データの漏えい等があったときの報告先は、個人情報保護委員会です。
個人情報保護委員会は、その権限を事業所管大臣に委任することができるのですが(個人情報保護法147条1項)、今のところ、学校法人に関する権限を文部科学大臣に委任することにはなっていません。
ご参考に、個人情報保護委員会が事業所管大臣に権限を委任しているのは、リンク先のとおりです。
<権限の委任>
https://www.ppc.go.jp/personalinfo/legal/kengenInin/
<一覧表>
https://www.ppc.go.jp/files/pdf/kengeninin_R4.pdf
では、学校法人での個人情報の漏えい事案は、どのようなものでしょうか。
なんとなく、ハッカーによる不正アクセス、コンピュータウイルスなどを想像してしまいますが、実際には、ケアレスミスの事案が多いように思います。
学校の顧問弁護士をしていてご相談を受ける漏えい、滅失、毀損等の事案は、だいたい次のようなものです。
・生徒や卒業生の住所氏名が記載された名簿(紙媒体)をどこかで落とした
・紙媒体の出勤簿を誤ってシュレッダーにかけてしまった
・期末試験の採点結果を保存したUSBメモリが見当たらない
・教職員用のメーリングリストに送信したつもりが、学生・生徒や保護者用の
メーリングリストに送信していた
・SNSや学校のウェブサイトに、学生の顔が写った写真をアップロードした
今後は、ケアレスミスによる漏えい等でも、上記の(1)~(4)に該当すると、個人情報保護委員会への届出と、本人への通知が義務付けられます。
学校法人の評価を落とすことになり、学生募集・生徒募集に影響する可能性もあるので、より慎重な取扱いを心掛けたいところです。
執筆:弁護士 小國隆輔
改正後の個人情報保護法26条1項で、個人データの漏えい、滅失、毀損等があった場合に、個人情報保護委員会への報告が義務付けられました。
報告義務を負うのは、漏えい等をした教職員ではなく、個人情報取扱事業者です。ここでは、学校法人のことだと思ってください。
これまでは、個人データの漏えい等があっても、個人情報保護委員会の告示で、努力義務として報告が求められていただけでした。
要するに、法的には、報告を強制されることはなかったということですね。
さて、改正法の下で報告義務が課されるのは、個人データの漏えい等のうち、次の(1)~(4)のいずれかに該当するものです。
いずれも、実際に漏えい等が生じた場合だけでなく、そのおそれがある場合も、報告義務の対象です。(個人情報保護法施行規則7条)
(1)要配慮個人情報が含まれる個人データの漏えい等
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの
漏えい等
(3)不正の目的をもって行われたおそれがある個人データの漏えい等
(4)1000人分を超える漏えい等
報告の期限は、次のとおりです。(個人情報保護法施行規則8条2項)
・上記(1)、(2)、(4)の場合 : 漏えい等の発生を把握した時(又はそのおそれが
あると把握した時)から30日以内
・上記(3)の場合 : 漏えい等の発生を把握した時(又はそのおそれがあると把握
した時)から60日以内
さらに、上記の(1)~(4)に該当する場合には、その個人データの本人にも通知をしなければなりません。
ただし、本人への通知が困難な場合には、本人の権利利益を保護するため必要な措置をとれば足りるとされています。(個人情報保護法26条2項)
「本人の権利利益を保護するため必要な措置」とは、事案の概要を公表し、問い合わせ窓口を設けることなどが考えられます。
細かいですが、漏えい等をした個人データが、他の個人情報取扱事業者や行政機関から委託を受けたものであるときは、速やかに委託元へ通知をすれば、個人情報保護委員会への報告は不要です。(個人情報保護法26条1項但書、施行規則9条)
個人情報保護委員会へは、委託元から報告すべき、ということですね。
なお、学校法人で個人データの漏えい等があったときの報告先は、個人情報保護委員会です。
個人情報保護委員会は、その権限を事業所管大臣に委任することができるのですが(個人情報保護法147条1項)、今のところ、学校法人に関する権限を文部科学大臣に委任することにはなっていません。
ご参考に、個人情報保護委員会が事業所管大臣に権限を委任しているのは、リンク先のとおりです。
<権限の委任>
https://www.ppc.go.jp/personalinfo/legal/kengenInin/
<一覧表>
https://www.ppc.go.jp/files/pdf/kengeninin_R4.pdf
では、学校法人での個人情報の漏えい事案は、どのようなものでしょうか。
なんとなく、ハッカーによる不正アクセス、コンピュータウイルスなどを想像してしまいますが、実際には、ケアレスミスの事案が多いように思います。
学校の顧問弁護士をしていてご相談を受ける漏えい、滅失、毀損等の事案は、だいたい次のようなものです。
・生徒や卒業生の住所氏名が記載された名簿(紙媒体)をどこかで落とした
・紙媒体の出勤簿を誤ってシュレッダーにかけてしまった
・期末試験の採点結果を保存したUSBメモリが見当たらない
・教職員用のメーリングリストに送信したつもりが、学生・生徒や保護者用の
メーリングリストに送信していた
・SNSや学校のウェブサイトに、学生の顔が写った写真をアップロードした
今後は、ケアレスミスによる漏えい等でも、上記の(1)~(4)に該当すると、個人情報保護委員会への届出と、本人への通知が義務付けられます。
学校法人の評価を落とすことになり、学生募集・生徒募集に影響する可能性もあるので、より慎重な取扱いを心掛けたいところです。
執筆:弁護士 小國隆輔
