その他令和8年1月22日
個人情報保護法に基づく漏えい等報告に関する解説(報告義務の主体、速報・確報の手続等)
掲載日
令和8年1月22日
号種
号外
原文ページ
p.31 - p.32
出典:官報発行サイトの掲載情報を加工しています。AI 抽出や OCR に誤りが含まれる可能性があるため、 重要な確認は公式原文を基準にしてください。
AI要点
個人データの漏えい等事案における報告・通知義務に関する解説
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
個人情報保護法に基づく漏えい等報告に関する解説(報告義務の主体、速報・確報の手続等)
令和8年1月22日|p.31-32
本文はAI抽出です。左の段落を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(8) 「速報」について(第2項)
協会員は、保護法報告対象事態を知ったときは、速やかに、個人情報保護委員会及び本協会に報告しなければならない。
報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されるが、協会員が法人である場合には、いずれかの部署が当該事態を知った時点を基準とする。「速やか」の日数の目安については、個別の事案によるものの、協会員が当該事態を知った時点から概ね3~5日以内である。
個人情報保護委員会への漏えい等報告については、次の①から⑨までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りる。
① 「概要」
当該事態の概要について、発生日、発見日、発生事案、発見者、第15条第1項各号該当性、委託元及び委託先の有無、事実経過等を報告する。
② 「漏えい等が発生し、又は発生したおそれがある個人データ(前項第3号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目」
漏えい等が発生し、又は発生したおそれがある個人データ(第1項第3号に定める事態については、同号に規定する個人情報を含む。)の項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
③ 「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
漏えい等が発生し、又は発生したおそれがある個人データ(第1項第3号に定める事態については、同号に規定する個人情報を含む。)に係る本人の数について報告する。
④ 「原因」
当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。
⑤ 「二次被害又はそのおそれの有無及びその内容」
当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。
⑥ 「本人への対応の実施状況」
当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
⑦ 「公表の実施状況」
当該事態に関する公表の実施状況について報告する。
⑧ 「再発防止のための措置」
漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
⑨ 「その他参考となる事項」
上記の①から⑧までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。
(9) 「確報」について(第3項)
協会員は、保護法報告対象事態を知ったときは、速報に加え、30日以内(第1項第3号の事態においては60日以内。同号の事態に加え、同条第1号、第2号又は第4号の事態にも該当する場合も60日以内。)に個人情報保護委員会及び本協会に報告しなければならない。30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましい。
報告期限の起算点となる「知った」時点については、速報と同様に、協会員が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定に当たっては、その時点を1日目とする。
確報においては、解説8①~⑨までに掲げる事項の全てを報告しなければならない。確報を行う時点(保護法報告対象事態を知った日から30日以内又は60日以内)において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとする。
(注1) 速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる。
(注2) 確報の報告期限(30日以内又は60日以内)の算定に当たっては、土日・祝日も含める。ただし、30日目又は60日目が土日、祝日又は年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とする(行政機関の休日に関する法律(昭和63年法律第91号)第2条)。
(10) 委託元への通知による例外
委託先は、個人情報保護委員会への報告義務を負っている委託元に対し、解説(8)①~⑨までに掲げる事項のうち、その時点で把握しているものを通知したときは、報告義務を免除される(第1項ただし書参照)。委託元への通知については、速報としての報告と同様に、保護法報告対象事態を知った後、速やかに行わなければならない。「速やか」の日数の目安については、個別の事案によるものの、委託先が当該事態の発生を知った時点から概ね3~5日以内である。
この場合、委託先から通知を受けた委託元が報告をすることになる。委託元は、通常、遅くとも委託先から通知を受けた時点で、保護法報告対象事態を知ったこととなり、速やかに報告を行わなければならない。
なお、通知を行った委託先は、委託元から報告するに当たり、事態の把握を行うとともに、必要に応じて委託元の漏えい等報告に協力することが求められる。
(11) 貸金業法及び金融分野ガイドラインに基づく報告(第6項及び第7項)
協会員は、その取り扱う個人である顧客等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、監督当局(財務局長若しくは財務支局長又は都道府県知事)及び本協会に速やかに報告することその他の適切な措置を講じなければならない(第6項、第11項)。
また、協会員は、第7項各号のいずれかの事態(第1項及び第6項に規定する事態を除く。)を知った場合には、第1項及び第6項の規定に準じて、監督当局及び本協会に報告するものとする(第7項、第11項)。
第6項にいう「速やかに報告することその他の適切な措置」については、以下のとおり考えられる。
① 原則として、「速やかに」(当該事態を知った時点から概ね3~5日以内を目安として)、その時点で把握している当該事態の概要等を監督当局に報告する必要がある。また、その後、当該事態の概要等が判明した場合には、判明次第、改めて監督当局及び本協会に報告する必要がある。
⑫ 本人への通知、通知対象となる事態及び通知義務の主体
協会員は、保護法報告対象事態を知ったときは、本人への通知を行わなければならない(第8項)。
通知義務を負う主体は、原則として、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う協会員である。ただし、第1項第③号に定める事態について本人への通知の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データ又は個人情報を取り扱い、又は取得しようとしている協会員である(解説⑴参照)。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データ又は個人情報を取り扱い、又は取得しようとしていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が本人への通知を行う義務を負う。委託先が、報告義務を負っている委託元に解説⑧⑴~⑨までに掲げる事項のうち、その時点で把握しているものを通知したときは、委託先は報告義務を免除されるとともに、本人への通知義務も免除される。なお、委託元への通知を行った委託先は、必要に応じて委託元による本人への通知に協力することが求められる。また、協会員は、第9項各号のいずれかの事態を知ったときも、上記に準じて本人への通知等を行う努力義務を負う(第9項)。
金融機関が取り扱う情報の性質等に鑑み、基本的には全ての漏えい等事案について本人への通知等を行うことが望ましいとされる。なお、例えば、漏えい等した個人データについて、高度な暗号化等の秘匿化措置が講じられている場合や、漏えいした個人データを即時に回収した場合等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合等には、本人への通知を要しない。
⑬ 通知の時間的制限
協会員は、保護法報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければならない。
「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断する。
【その時点で通知を行う必要があるとはいえないと考えられる事例】
事例1) インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、協会員において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合
事例2) 漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合
⑭ 通知の内容
本人へ通知すべき事項については、漏えい等報告における報告事項のうち、「概要」、「漏えい等が発生し、又は発生したおそれがある個人データ(前項第③号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目」、「原因」、「二次被害又はそのおそれの有無及びその内容」及び「その他参考となる事項(解説⑧参照)」に限られている。これらの事項が全て判明するまで本人への通知をする必要がないというものではなく、本人への通知は、「当該事態の状況に応じて速やかに」行う必要がある。
本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものである。
また、当初保護法報告対象事態に該当すると判断したものの、その後実際には保護法報告対象事態に該当していなかったことが判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要である。
注 第2項第⑨号に定める「その他参考となる事項」については、本人への通知を補完するため、本人にとって参考となる事項をいい、例えば、本人が自らの権利利益を保護するために取り得る措置が考えられる。
【本人の権利利益を保護するために必要な範囲において通知を行う事例】
事例1) 不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するに当たり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること。
事例2) 漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること。
⑮ 通知の方法
「本人への通知」とは、本人に直接知らせるものをいい、事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければならない。また、漏えい等報告と異なり、本人への通知については、その様式が法令上定められていないが、本人にとって分かりやすい形で通知を行うことが望ましい。
【本人への通知の方法の事例】
事例1) 文書を郵便等で送付することにより知らせること。
事例2) 電子メールを送信することにより知らせること。
⑯ 通知の例外
本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められる。
注 代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましい。
【本人への通知が困難な場合に該当する事例】
事例1) 保有する個人データの中に本人の連絡先が含まれていない場合
事例2) 連絡先が古いために通知を行う時点で本人へ連絡できない場合
【代替措置に該当する事例】
事例1) 事案の公表
注 公表すべき内容は、個別の事案ごとに判断されるが、本人へ通知すべき内容を基本とする。
事例2) 問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
(参照条文:保護法26条、施行規則7条から10条、通則ガイドライン3-5、金融分野ガイドライン11条)
p.31 / 2
読み込み中...
テキスト領域
選択中
非公開 (PII)