データ漏洩対応ガイド

データ漏洩発生時における国内外の通知義務：個人情報保護法、GDPR、CCPA等の比較と実務対応ガイド - 法務部の視点

データ漏洩は、企業にとって信用失墜や事業停止のみならず、多額の制裁金や訴訟リスクに繋がる重大な事態です。特に、国内外の複数の法規制下で事業を展開する企業においては、データ漏洩発生時に適用される複雑な「通知義務」への迅速かつ正確な対応が法務部門に求められます。

本稿では、日本の個人情報保護法に加え、GDPR（一般データ保護規則）やCCPA（カリフォルニア州消費者プライバシー法）といった主要な海外法規制におけるデータ漏洩時の通知・報告義務の比較を通して、企業法務部が押さえるべき実務上の対応ポイントと留意事項を解説いたします。

データ漏洩発生時の通知義務の重要性

データ漏洩が発生した場合、関係するデータ主体（個人）、規制当局、そして場合によっては広く社会に対して、インシデントの事実、影響、講じている措置等を適切に通知・報告することは、法的な義務であると同時に、企業の信頼回復と被害拡大防止のために極めて重要です。

不適切な通知または通知の遅延は、さらなる法的リスク（罰金、訴訟）を招くだけでなく、顧客や取引先からの信頼を大きく損なう結果となります。法務部門は、各国の法規制が定める通知要件を正確に理解し、迅速かつ整合性の取れたコミュニケーション戦略を主導する必要があります。

日本の個人情報保護法における報告・通知義務

2020年改正個人情報保護法により、データ漏洩等の事態発生時における個人情報保護委員会への報告および本人への通知が義務化されました（法第26条）。

対象となる事態

報告・通知義務の対象となるのは、「個人データの漏洩、滅失若しくは毀損（以下まとめて「漏洩等」といいます。）が発生し、又は発生したおそれがある事態」のうち、「個人の権利利益を害するおそれが大きいもの」として個人情報保護委員会規則で定める事態です。具体的には、以下の事態が該当します。

1. 要配慮個人情報が含まれる個人データの漏洩等
2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等
3. 不正の目的をもって行われたおそれがある個人データの漏洩等
4. 1000人を超える個人の個人データに係る漏洩等

報告先と通知先

• 報告先: 個人情報保護委員会
• 通知先: 原則として本人

報告・通知の内容と時期

• 報告: 個人情報保護委員会への報告は二段階で行います。
  • 速報: 漏洩等を知った後、事態を知った時点から概ね3～5日以内に、漏洩等の概要、判明している事実等を報告します。
  • 確報: 原因究明、影響範囲特定、再発防止策の検討などが完了した後、事態が確認できた時点から概ね30日以内（不正目的の場合は60日以内）に、詳細な事実関係、影響、講じた措置、再発防止策等を報告します。
• 通知: 本人への通知は、事態を知った後、速やかに実施する必要があります。確報の報告と同時期に行うことが推奨されますが、個別の事案に応じて速やかに通知することが重要です。

通知内容

本人への通知には、以下の事項を含めることが推奨されています（個人情報保護委員会規則第7条、ガイドライン）。

• 漏洩等が発生し、又は発生したおそれがある旨
• 漏洩等が発生し、又は発生したおそれがある個人データの項目
• 原因
• 二次被害の可能性及びその内容
• その他参考となる情報
• 事業者が講じた措置
• 問合せ窓口

通知を要しない例外規定も存在しますが、限定的であるため、原則として通知義務の対象となる事態では本人への通知が必要と考えて対応することが適切です。

GDPRにおける監督機関およびデータ主体への通知義務

GDPRは、EU域内のデータ主体に関連する個人データ侵害が発生した場合、事業者に厳格な通知義務を課しています（第33条、第34条）。

対象となる事態

通知義務の対象となるのは、「個人データの侵害」（Personal Data Breach）が発生し、それによって「自然人の権利と自由にリスクをもたらす可能性が高い場合」です。リスクの程度によって、通知先や義務内容が異なります。

報告先と通知先

• 報告先: 関係する監督機関（Relevant Supervisory Authority）
• 通知先: リスクが高い場合に限り、データ主体（Data Subject）

報告・通知の内容と時期

• 監督機関への報告: 個人データ侵害を認識した後、不当な遅滞なく、可能な限り72時間以内に報告が必要です。72時間以内に報告できない場合は、遅延理由を付記する必要があります。
• データ主体への通知: 個人データ侵害が「自然人の権利と自由に高いリスクをもたらす可能性が高い場合」に、不当な遅滞なく通知が必要です。

通知内容

監督機関への報告およびデータ主体への通知には、以下の事項を含めることが求められます（GDPR第33条、第34条）。

• 個人データ侵害の内容：侵害の種類（例：漏洩、滅失、改変）、対象となった個人データのカテゴリーおよびおおよそのデータ主体数、個人データ記録数
• データ保護責任者（DPO）または他の連絡担当者の氏名および連絡先
• 個人データ侵害の可能性のある影響
• 事業者が講じたまたは講じようとしている措置（侵害に対処するため、および可能な悪影響を軽減するため）

データ主体への通知は、平易かつ明確な言葉で記載する必要があり、上記の項目に加えて、侵害によるリスクとその軽減策について具体的なアドバイスを含めることが推奨されます。

CCPA/CPRAにおける消費者への通知義務

カリフォルニア州消費者プライバシー法（CCPA）およびその後継であるカリフォルニア州プライバシー権法（CPRA）は、特定の種類の個人情報（定義が広く、氏名、住所、アカウント番号などを含む）の非暗号化または非編集済みの状態でのデータ侵害が発生した場合、カリフォルニア州の居住者である消費者への通知義務を課しています（CCPA Sec. 1798.150）。

対象となる事態

通知義務の対象となるのは、「合理的セキュリティ対策の欠如」に起因する個人情報の非暗号化・非編集済み状態での漏洩、盗難、不正アクセスなどです。暗号化または編集済み（匿名化）された情報であれば、原則として通知義務は発生しません。

通知先

• カリフォルニア州の居住者である消費者
• （場合により）カリフォルニア州司法長官

通知内容と時期

• 通知: データ侵害を知った後、不当な遅滞なく通知が必要です。カリフォルニア州の居住者に対して、侵害の事実、侵害された情報の種類、企業が講じた措置、消費者が講じるべき措置、連絡先等を含む通知を行います。
• 司法長官への報告: 特定の重大なデータ侵害事案については、司法長官への報告が求められる場合があります。

通知方法は、書面、電子メール、ウェブサイト掲載、主要メディアによる公表など、状況に応じて適切な方法を選択します。

複数法規制が適用される場合の対応戦略

グローバル企業の場合、一つのデータ漏洩事案に対して、日本の個人情報保護法、GDPR、CCPAなど、複数の法規制が同時に適用される可能性があります。この場合、法務部門は以下の点に留意し、統合的な対応戦略を策定する必要があります。

1. 管轄権の特定: どの国の法規制が適用されるかを正確に判断します。データの取得・処理が行われた場所、データ主体の居住地、企業の拠点などが考慮されます。
2. 最も厳しい要件の確認: 各法規制の通知時期、通知先、通知内容の要件を比較し、最も厳しい要件に合わせて対応することで、複数の法規制を同時に満たすことを目指します（例: GDPRの72時間以内報告など）。
3. 通知内容の調整: 複数の法規制で求められる通知内容を網羅しつつ、各国の文化や言語に合わせて通知文をローカライズします。法規制によって求められる詳細度が異なる場合があるため、整合性を保ちつつ、必要な情報を過不足なく伝達できるように調整します。
4. 通知タイミングの調整: 各法規制の通知時期要件を満たしつつ、データ主体への通知タイミングを可能な限り揃えることで、混乱を防ぎます。ただし、GDPRのような厳格な時間制限がある場合は、当該要件を優先する必要があります。
5. 規制当局との連携: 複数の国の規制当局に報告が必要な場合、各当局への報告内容や進捗状況を適切に管理・連携します。

通知文作成および情報提供の実務上の留意点

データ主体や規制当局への通知文は、法務部門のレビューと承認が不可欠です。以下の点に留意して作成します。

• 正確性: 事実関係、影響、講じた措置など、記載内容は全て正確でなければなりません。調査の進捗に応じて、必要であれば続報を提供します。
• 分かりやすさ: 特にデータ主体への通知文は、専門用語を避け、平易な言葉で記載します。何が起きたのか、なぜ起きたのか、どのような影響があるのか、そしてデータ主体が取るべき行動は何かを明確に伝えます。
• 法務部門による確認: 通知文が各法規制の要件を満たしているか、法的リスクを高めるような不適切な表現がないか（例: 過失を安易に認める表現など）を法務部門が徹底的に確認します。広報部門や顧客対応部門と連携しつつ、最終的な承認は法務部門または経営層が行う体制を構築します。
• 問合せ窓口の設置: データ主体からの問合せに対応するための窓口を設置し、FAQ等を用意します。法務部門は、対応担当者が誤った情報を提供したり、法的リスクを生む発言をしたりしないよう、研修やスクリプトの提供を行います。
• ウェブサイト等での公開: 関係者への通知に加え、企業のウェブサイト等で情報を公開することが、透明性を確保し信頼回復に繋がる場合があります。公開内容についても法務部門がレビューを行います。

通知文の記載事項（例：日本法）

一般的に、通知文には以下の事項を含めます。

• 標題（例：「個人情報漏洩に関するお詫びとお知らせ」）
• 発生日時
• インシデントの概要（何が起きたか）
• 漏洩した可能性のある個人データの項目（氏名、住所、メールアドレス、会員IDなど）
• 原因（特定できた範囲で）
• 対象となる顧客数・件数
• お客様への影響と二次被害の可能性（例：不正利用のおそれ）
• 会社が講じた措置（原因調査、システム改修、再発防止策、関係省庁への報告など）
• お客様へのお願い（例：不審な連絡に注意する）
• 本件に関するお問い合わせ窓口（電話番号、メールアドレス、受付時間）
• 会社情報、代表者名
• 謝罪の言葉

これらの項目は、適用される法規制によって必須項目が異なるため、各法規制の要件を確認しながら作成します。

規制当局への報告手続きの実務

規制当局への報告は、単に書面を提出するだけでなく、その後の当局からの照会や調査に対応することも含まれます。

• 窓口の明確化: 当局との連絡窓口となる担当者（多くの場合、法務部門または情報セキュリティ担当役員）を明確にします。
• 報告書の作成: 各当局が求める報告書式や記載事項を確認し、正確かつ網羅的な報告書を作成します。
• 迅速な対応: 当局からの照会や追加情報提出の要求には、迅速かつ誠実に対応します。法務部門が中心となり、関連部署から情報を収集・整理します。
• 協力姿勢: 当局の調査に協力する姿勢を示し、不必要な摩擦を避けることが重要です。

まとめ

データ漏洩発生時の通知・報告義務は、各国の法規制によってその要件が異なりますが、迅速かつ正確な対応が企業の法的リスク軽減と信頼回復に不可欠であるという点は共通しています。法務部門は、これらの複雑な義務を理解し、以下の対応を主導する必要があります。

• 自社に適用される国内外の通知・報告義務の正確な把握
• インシデント発生時の迅速な事実確認と適用法規制の特定
• 各規制の要件を満たす通知・報告書の作成と承認プロセスの確立
• データ主体、規制当局、その他ステークホルダーへの適切かつタイムリーな情報提供
• 関連部署（IT、広報、顧客対応など）との連携体制構築
• 今後の法改正やガイドラインの動向に関する継続的な情報収集

これらの対応は、日頃からのインシデント対応計画（IRP）の策定・訓練、および社内でのデータプライバシー意識向上と連携して行うことで、より実効性の高いものとなります。法務部門がリーダーシップを発揮し、有事の際に冷静かつ的確な通知義務対応を実現することが、企業の持続的な成長にとって不可欠と言えるでしょう。