個人情報保護委員会がアマゾンに行政指導、情報漏えい後に企業が採るべき対応について

法務担当者が“法務”を語る新しいWEBメディアはコチラ

はじめに

個人情報保護委員会は10月11日、株式会社アマゾンジャパン(以下、アマゾン)に対し個人情報の保護に関する法律(以下、個人情報保護法)に基づき行政指導を行った旨公表しました。

「個人情報の保護に関する法律に基づく行政上の対応について」

この公表は、同社の運営する通販サイトの一部利用者において、別の利用者の個人情報が誤って表示される不具合が発生したことを受けてのものです。

同委員会の公表によれば、既にアマゾンからは報告を受け取っており、10月4日にはアマゾンから誤表示の影響を受けた利用者に対して個別にメール送付が行われたとのことです。

個人情報の漏えい発覚後、企業が適切な対応策を採れるか否かによって、情報漏えいやその後の二次被害の被害規模のみならず、企業のブランドイメージにも大きく影響します。

今回は、個人情報漏えい後に企業が採るべき対応について見ていきます。

個人情報漏えい後に企業が取るべき対応

個人情報保護委員会は、情報漏えいが発生した後に企業が採るべき措置につきガイドラインを定めています。

「個人データ漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」(PDF)

「個人情報の保護に関する法律についてのガイドライン(通則編)」(PDF)によれば、
このガイドラインの対象になるのは「個人情報取扱事業者」(個人情報保護法2条5項)です。
「個人情報取扱事業者」とは、
①特定の個人情報をコンピュータ等を用いて検索することができるように体系的に構成された、個人情報を含む情報の集合物(「個人情報データベース」(個人情報保護法2条4項))を
②事業の用に供している者(国の機関、地方公共団体、独立行政法人等は除く)
をいいます。

①には例えば名刺情報のデータベースや電話帳、メールアドレス帳など(※注1)が該当し、
②は一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利、事業規模の大小を問わないことから、
およそすべての民間事業者が該当しうるものと考えられます。

※注1:利用方法からみて個人の権利利益を害する恐れが少ないものとして政令(個人情報の保護に関する法律施行令(平成15年政令第507号))で定めるものは除外されます。例えば、タウンページなどの市販刊行物や、カーナビゲーションシステム上の住所データなど本来の用途以外に個人情報が利用されないものがあたります。

以下、ガイドラインの内容につき簡単に説明していきます。

(1) 個人情報取扱事業者として望ましい措置

個人情報取扱事業者は、情報漏えいが発覚した場合、二次被害の防止及び類似事案の発生防止の見地から、必要に応じて以下の6つの措置を取ることが望ましいとされています。

① 事業者内部における報告及び被害の拡大防止

情報漏えいを発見したら責任ある立場の者に直ちに報告し、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる

② 事実関係の調査及び原因の究明

情報漏えいの事実関係の調査及び原因の究明に対し、必要な措置を講じる

③ 影響範囲の特定

上記②で把握した事実関係による影響の範囲を特定する

④ 再発防止策の検討及び実施

上記②の結果を踏まえ、情報漏えいの再発防止策の検討及び実施に必要な措置を速やかに講ずる

⑤ 影響を受ける可能性のある本人への連絡

情報漏えいの内容に応じて、事実関係等につき速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く

⑥ 事実関係及び再発防止策等の公表

情報漏えいの内容等に応じて、事実関係及び再発防止策等につき速やかに公表する

また、個人情報保護法は、業界や事業分野の特性に応じた形での個人情報保護の取組の支援を目的とした認定個人情報保護団体制度(個人情報保護法47条1項)を設置しており、各認定個人情報保護団体ごとに個人情報の取り扱いに関して自主ルールが設けられている場合があるため、認定個人情報保護団体の対象事業者にあたる場合には、自主ルールに沿った対応が求められます。

「認定個人情報保護団体 制度の概要」

(2) 個人情報保護委員会等への速やかな報告

個人情報取扱事業者は、情報漏えいが発生した場合、原則として個人情報保護委員会等に対して速やかな報告に努めるべきとされています(努力義務)。
報告方法については、事業分野によって異なります。
「漏えい等の対応(個人情報)」

(i) 原則

個人情報保護委員会に報告することになっています。
平成31年3月27日から個人情報保護委員会への報告方法は従来のFAX又は郵送による提出から、報告フォームへの入力に変更されています。個人情報保護委員会ホームページ内の「漏えい等の報告」ページにある各報告フォームから報告してください。

(ii) 例外①:事業者が各業種の認定個人情報保護団体の対象に含まれる場合

各認定個人情報保護団体に報告することになっています。

「認定個人情報保護団体一覧」(PDF)

(iii)例外②:事業者の業種が、個人情報保護委員会の有する報告徴収及び立入検査権限(個人情報保護法44条1項、40条)が事業所管大臣に委任された分野である場合

事業を所管する監督省庁等に報告することになっています。

「改正個人情報保護法に基づく権限の委任を行う業種等及び府省庁 並びに当該業種等における漏えい等事案発生時の報告先」(PDF)

※なお、漏えいした個人情報の中に行政機関等が発行する個人番号(いわゆるマイナンバー)が含まれる場合には、個人情報保護委員会等への報告は法的義務(行政手続における特定の個人を識別するための番号の利用等に関する法律29条の4)となっています。
報告手続も異なりますので、別途ガイドライン等「特定個人情報の漏えい事案等が発生した場合の対応について」を参照してください。

コメント

今回の事件につき、アマゾンは直接利用者に向けてプレスリリース等を通じた事件の公式な公表を行わなかったため、一般利用者は事件に関する情報を専らSNSや報道といった二次ソースでしか知りえない状況におかれていました。また、誤表示の影響を受けた利用者への個別メールにおいても、具体的な被害件数につき言及を避ける等説明が不十分であったとして、ネット上ではアマゾンの対応に批判の声も寄せられていました。

※個人情報保護委員会による公表に至るまでの事件の推移及びネット上の反応につき
時事通信
「ねとらぼ」①
「ねとらぼ」②
「INTERNET Watch」

過剰反応による被害拡大の恐れがあることをふまえると公表時期や対象については慎重に検討すべきです。しかし、公表が遅れたり、公表内容が不十分であるような場合には、事件の隠蔽ではないかとの疑念を生じさせ、企業のブランドイメージ失墜の原因となりえます。

法務・コンプライアンス担当者は、あらかじめ漏えいが発覚した場合の報告連絡体制を整備しておくとともに、漏えい発生時に報告連絡体制に沿った運用がなされるよう社内に報告連絡体制の内容を周知徹底しておく必要があるといえるでしょう。

関連業務タグ:
関連法律タグ:
 
[著者情報] ando

詳細情報はありません。

このニュースに関連するセミナー

個人情報保護法
《東京会場》2020年の注目すべき法改正と法務トピック
2020年02月25日(火)
13:30 ~ 16:30
22,000円(税込)
東京都港区
講師情報
淵邊 善彦
ベンチャーラボ法律事務所 代表弁護士

1987年 東京大学法学部卒業
1989年 弁護士登録
1995年 ロンドン大学UCL(LL.M.)卒業
2000年よりTMI総合法律事務所にパートナーとして参画
2008年より中央大学ビジネススクール客員講師(13年より同客員教授)
2016年より2018年まで東京大学大学院法学政治学研究科教授
2019年ベンチャーラボ法律事務所開設

主にベンチャー・スタートアップ支援、M&A、国際取引、一般企業法務を取り扱う。

主著として、『業務委託契約書作成のポイント』(共著)、『契約書の見方・つくり方(第2版)』、『ビジネス法律力トレーニング』、『ビジネス常識としての法律(第2版)』(共著)、『シチュエーション別 提携契約の実務(第3版)』(共著)、『会社役員のための法務ハンドブック(第2版)』(共著)などがある。
2020年は改正民法、改正独禁法、働き方改革関連法など重要な法改正が施行され、個人情報保護法などの改正も予定されています。

本セミナーは、これらの法改正の概要とそれがビジネスにどのような影響を与えるかを具体的に解説します。

重要な法改正の動きを俯瞰的に把握するとともに、各法改正が実務に与えるインパクトを理解することにより、社内においてメリハリがついた対応策を検討したり、社内研修を行ったりするための参考にしていただきたいと思います。

また、今年特に話題になりそうな法務トピックを取り上げ、その最新の状況をご紹介し、自社の法務部門の今後を考えるきっかけとしてもご活用いただける内容になっています。
詳細はコチラ (申込は、終了しています。)
個人情報保護法
《東京会場》AI技術を踏まえたAI・データ戦略と、AI・データ関連契約の実務
2020年02月18日(火)
13:30 ~ 16:30
22,000円(税込)
東京都港区
講師情報
濱野 敏彦
西村あさひ法律事務所 弁護士・弁理士

2002年 東京大学工学部卒業
同年弁理士試験合格
2004年 東京大学大学院新領域創成科学研究科修了
2007年 早稲田大学法科大学院法務研究科修了
2008年 弁護士登録
2011-2013年 新日鐵住金株式会社知的財産部知的財産法務室出向

理系の大学・大学院の3年間、ニューラルネットワーク(今のディープラーニング)の研究室に所属し、プログラミング等を行っていたため、AI技術に詳しい。
知的財産・IT関連訴訟、及び、知的財産全般、IT、個人情報、危機管理、コーポレートガバナンス等の分野の法的助言を専門とする。
近時、AI技術の利用が進んでおります。
そして、本年春からの5G(第五世代移動通信システム)のサービス開始により、高速・大量のデータ通信が可能となり、AI技術の利用が加速することが予想されます。

また、AI技術に利用できるデータや、AI技術等を用いた分析結果のデータの価値が高まっております。
そのため、AI技術の理解に基づくAI・データ戦略が、競争力の維持・向上、働き方改革が進む中での業務効率化のためには不可欠です。

そこで、本セミナーでは、はじめに、AI技術に知見を有する講師が、AI技術を整理した上で、各技術の強みと弱み等について、具体例を用いてわかりやすく解説いたします。
次に、データを知的財産として保護するために創設された限定提供データ(2019年7月1日施行)を踏まえたデータの保護・管理方法について解説いたします。

そして、AI技術を踏まえたAIビジネスの動向と、価値が高まっているデータ類型を踏まえたデータビジネスの動向について解説をいたします。
さらに、AI・データ関連契約のポイントと、各立場における契約交渉戦略について解説いたします。
最後に、AI・データビジネスにおける個人情報保護に関する留意点と実務上の工夫について解説いたします。
詳細はコチラ (申込は、終了しています。)
※セミナー広告を掲載したい方は、コチラ