改正個人情報保護法第22条の2で義務化される「報告・通知」についての議事資料公開

個人情報保護委員会は、10月30日に開催した「第156回個人情報保護委員会」ならびに11月4日に開催した「第157回個人情報保護委員会」の議事次第や配布資料を公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2020.11.10 Tue 8:05

個人情報保護委員会は、10月30日に開催した「第156回個人情報保護委員会」ならびに11月4日に開催した「第157回個人情報保護委員会」の議事次第や配布資料を公開した。

「第156回個人情報保護委員会」では、個人情報の保護に関する法律（平成15年法律第57号）に対する「改正法に関連する政令・規則等の整備に向けた論点について（漏えい等報告及び本人通知）」を議題として取り上げて、同議題に関する資料を公開している。

改正法の概要として、漏えい等が発生し個人の権利利益を害するおそれが大きい場合に、委員会への報告・本人への通知を義務化（改正法第22条の2）を定め、対象となる事態や委員会への報告・本人への通知の方法等については委員会規則で定めることとしている。

漏えい等報告の趣旨は、「委員会が事態を早急に把握し必要な措置を講じることができるようにすること」で、本人通知の趣旨は、「通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること」とし、検討すべき論点として以下の5点を挙げている。

1.漏えい等報告・本人通知の対象となる事態
事業者が委員会への報告及び本人通知の要否を判断できるよう、基準として明確かつ簡便である必要があり、まずは個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質・内容、漏えい等の態様、漏えい等の事態の規模等を考慮した上で、対象となる事態を定めることを検討。

2.報告の時間的制限・報告事項
漏えい等が発生した際の委員会への報告について、速やかに行う必要がある一方で、原因や再発防止策等、把握に時間を要する内容も報告に含める必要があるが、これらの要請を満たす報告を一度に行うことは困難なため、漏えい等の報告の期限については、速報と確報の二段階とした上で、それぞれ定めることを検討。

3.本人通知の時間的制限・通知事項
本人への通知の趣旨は、「通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること」で、本人が必要とする内容を、本人にとって必要なタイミングで通知することが重要で、委員会への報告と区別して検討すべき。

4.委託先から委託元への通知方法
漏えい等の事態が発生した場合、委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負うことになるが、他方、委託先が委託元である個人情報取扱事業者に当該事態が発生した旨を通知したときは、委託先から委員会への報告義務を免除し、委託元から委員会に報告を行うことになり、どちらが主として漏えい報告や本人への通知を行うかは、個人情報の取扱状況や委託の状況等に応じて、あらかじめ業者間で決めておくことが適切。

5.その他
改正法において漏えい等報告の対象とならない事案の取扱いについて
認定個人情報保護団体の関与について
漏えい等事案に関する国際的な情報共有への貢献

また、11月4日開催の「第157回個人情報保護委員会」では、改正法における個人データの越境移転に係る制限を議題とし、資料を公開している。