データ漏洩対応ガイド

データ漏洩と個人情報の範囲:匿名加工情報・仮名加工情報漏洩時の法的論点と法務部の対応

Tags: データ漏洩, 個人情報保護法, 個人情報, 匿名加工情報, 仮名加工情報

データ漏洩事案が発生した際、その対応において最も基本的かつ重要な判断の一つが、「何が漏洩したのか」という点です。特に、それが個人情報保護法における「個人情報」に該当するのか、あるいは匿名加工情報や仮名加工情報といった他のカテゴリーに分類されるのかは、企業に課される法的義務、特に個人情報保護委員会への報告義務や本人への通知義務の有無・内容、さらには発生しうる法的リスクや必要な実務対応のレベルを大きく左右します。

法務部としては、インシデント発生時に技術部門等と連携して漏洩情報の特定を進めると同時に、その情報が法的定義上どのカテゴリーに属するのかを正確に判断し、その後の対応の方向性を迅速に決定する必要があります。本記事では、データ漏洩事案における個人情報等の定義に関する法的論点と、漏洩した情報の種類に応じた法務部の対応について解説いたします。

個人情報保護法における「個人情報」の基本的な定義

個人情報保護法において、「個人情報」は生存する個人に関する情報であり、特定の個人を識別できるものを指します(法第2条第1項)。具体的には、氏名、生年月日、住所、顔画像といった単独で特定の個人を識別できる情報に加え、氏名などと組み合わせて個人を識別できる情報(例: 氏名と紐づいたメールアドレス、電話番号)、そして個人識別符号(指紋データ、旅券番号、運転免許証番号など)が含まれます。

この定義において、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」も個人情報に含まれる点が重要です。たとえば、単体では特定の個人を識別できない情報(例: 購買履歴、ウェブサイトの閲覧履歴、位置情報、IPアドレス、Cookie情報など)であっても、他の情報(例: 会員ID、ログイン情報など)と容易に照合可能である場合には、全体として個人情報とみなされる可能性があります。法務部としては、自社が保有する様々なデータが、どのような組み合わせや照合可能性を持つかを事前に把握しておくことが、有事の際の迅速な判断に不可欠となります。

匿名加工情報と仮名加工情報の法的位置づけ

2020年改正個人情報保護法によって導入された匿名加工情報および仮名加工情報も、データ漏洩対応においてその定義を正確に理解しておくべき重要な概念です。

法務部としては、自社が保有するデータがこれらの定義に合致するかどうか、特に匿名加工情報または仮名加工情報として適切に加工・管理されているかを確認し、それぞれの情報が漏洩した場合に適用される法的義務を理解しておく必要があります。

漏洩した情報の種類による法的影響の違い

漏洩した情報が、個人情報、要配慮個人情報、仮名加工情報、匿名加工情報のいずれに該当するかによって、企業に課される法的義務や直面するリスクは大きく異なります。

  1. 「個人情報」が漏洩した場合:

    • 個人情報保護法第26条の2第1項に基づき、個人の権利利益を害するおそれが大きい一定の事態(「個人情報保護委員会規則で定める事態」、いわゆる重度事態)に該当する場合は、個人情報保護委員会への報告および本人への通知義務が生じます。
    • GDPRやCCPAといった海外法規制が適用される場合、それぞれの法規制に基づいた報告・通知義務が生じます。GDPRでは原則として遅滞なく(72時間以内)、CCPAでは事態が収束した後速やかに、などの期限が定められています。
    • データ主体からの問い合わせ、権利行使請求(開示、訂正、削除など)、さらには損害賠償請求訴訟のリスクが高まります。
    • 監督官庁からの行政指導、勧告、命令、そして多額の罰金(GDPR違反の場合など)のリスクがあります。

  2. 「要配慮個人情報」(法第2条第3項)が漏洩した場合:

    • 不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報(例: 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など)が漏洩した場合、個人情報保護委員会規則で定める事態に該当することが多く、報告・通知義務の対象となる可能性が非常に高いです。
    • 漏洩による個人の権利利益侵害の危険性が高いため、上記「個人情報」の場合よりもさらに深刻な法的リスクや信用の失墜につながりやすいです。

  3. 「仮名加工情報」が漏洩した場合:

    • 個人情報保護法第26条の2第2項に基づき、仮名加工情報に係る漏洩等事案が発生した場合は、個人情報保護委員会への報告義務が課されます。ただし、本人の権利利益を害するおそれが少ないと個人情報保護委員会規則で定める場合は、この限りではありません。
    • 個人情報そのものではないため、原則として本人への通知義務は生じません(ただし、元の個人情報に戻せる状態での漏洩など、例外的な状況は起こり得ます)。
    • 匿名加工情報と異なり、復元可能な状態であるため、漏洩が発覚した場合、元の個人情報に復元されるリスクを評価し、その可能性に応じて個人情報漏洩に準じた対応が必要となるか検討すべきです。

  4. 「匿名加工情報」が漏洩した場合:

    • 特定の個人を識別できず、復元もできないように加工されているため、個人情報保護法上の報告・通知義務は原則として生じません
    • ただし、匿名加工情報として適切に加工されているか、定義からの逸脱はないかなどを確認する必要があります。また、法的な義務はなくても、事業の継続性や顧客からの信頼維持という観点から、事案の内容によっては自主的な調査や情報公開が必要となる場合もあります。

  5. 個人情報に該当しない情報が漏洩した場合:

    • 個人情報保護法上の報告・通知義務は発生しません。
    • ただし、営業秘密、機密情報、企業のノウハウなどが漏洩した場合は、不正競争防止法上の問題や、契約違反、損害賠償といった法的リスクが生じます。また、顧客データ(たとえ個人情報に該当しないデータであっても)の漏洩は、企業の社会的信用に大きなダメージを与える可能性があります。

インシデント対応における法務部の役割:情報の法的分類と判断

データ漏洩インシデントが発生した際の法務部の重要な役割の一つは、技術部門などから提供される情報を基に、漏洩した情報がどの法的カテゴリーに該当するかを迅速かつ正確に判断することです。

  1. 技術部門との連携: IT部門やセキュリティ担当部署と密に連携し、漏洩したデータの種類、範囲、件数、情報の機微性(要配慮個人情報を含むかなど)、漏洩の原因、外部への拡散状況などの技術的な情報を収集します。
  2. 法的定義への当てはめ: 収集した情報が、個人情報、要配慮個人情報、仮名加工情報、匿名加工情報、あるいはその他の情報のいずれに該当するかを、個人情報保護法および関連ガイドラインの定義に照らして判断します。この際、「他の情報と容易に照合できるか」といった、単独では個人情報でない情報を含むケースの判断は特に重要です。必要に応じて外部の専門家(弁護士、コンサルタントなど)の意見も求めます。
  3. 報告・通知義務の要否・内容の判断: 法的分類の判断に基づき、個人情報保護法第26条の2に定める報告・通知義務が発生するか、発生する場合の具体的な内容(報告先、通知対象者、通知内容、期限など)を判断します。仮名加工情報の場合の報告義務の有無や、個人情報の場合の「重度事態」該当性の判断など、法務部による慎重な検討が必要です。
  4. 対応レベルの決定と法的アドバイス: 法的分類とそれに伴う義務の判断に基づき、今後の対応のレベルや方向性について経営層や関係部署(IT、広報、顧客対応など)に法的アドバイスを提供します。たとえば、本人への通知が必要か、通知する場合の適切な文面はどのような内容か、規制当局への説明準備、想定される法的リスク(訴訟可能性など)とその対策などを検討します。

まとめ

データ漏洩インシデント対応において、漏洩した情報が個人情報、要配慮個人情報、仮名加工情報、匿名加工情報のいずれに該当するかという法的分類は、その後の全ての対応の基礎となります。この判断を誤ると、個人情報保護法上の義務違反による罰金や行政処分、データ主体からの訴訟、企業の信用失墜など、深刻な結果を招きかねません。

法務部としては、平時から個人情報保護法における各種定義の正確な理解に努め、自社が取り扱うデータの種類やその法的性質を把握しておくことが重要です。また、インシデント発生時には、技術部門と緊密に連携し、迅速かつ正確に漏洩情報の法的分類を行い、これに基づいた適切な報告・通知義務の履行、関係部署への的確な法的アドバイス提供を主導する必要があります。事前のリスク評価、対応計画(IRP)の策定、関係部署との連携体制構築において、この「情報の種類に応じた法的判断」という視点を取り入れることが、実効性のあるデータ漏洩対応の鍵となります。