個人情報保護委員会は6月10日、令和7年度第4四半期における監視・監督権限の行使状況について発表した。
同会は、漏えい等事案に関する報告の受理等による不断の監視のほか、報告徴収・立入検査等で収集した情報等に基づき、確認、調査及び分析を進めた上で、個人情報の保護に関する法律(平成15年法律第57号、個人情報保護法)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。、マイナンバー法)に基づき、指導、勧告等を行う権限を有している。
同会の令和7(2025)年度第4四半期における監視・監督権限の行使状況は下記の通り。
I.公表事案
権限行使日:2026年2月25日
対象:埼玉県所沢市
権限行使の内容:指導
II.その他の権限行使
1.個人情報保護法
(1)指導・助言:計157件
【民間事業者:計115件】
・不正アクセスを原因とする漏えい等事案を中心に、安全管理措置の不備等について指導。
・不正アクセスによる漏えい等の原因として、VPN機器の脆弱性やECサイトを構築するためのアプリケーション等の脆弱性が公開され、対応方法がリリースされていたにもかかわらず事業者が放置していたこと、ID・パスワードが容易に推測されやすいものとされていたこと、設定ミスによりデータベースへの適切なアクセス制御を行っていなかったことなど、安全管理措置に不備があったケースが多くみられる。
・攻撃種類としては、ブルートフォース攻撃、ウェブサイトのSQLインジェクション攻撃などがみられているほか、ランサムウェア攻撃も23件みられる。
・指導等の内容としては、外部からの不正アクセス等の防止の不備が最も多く(20件)、委託先に対する監督の不備(19件)が続いた。アクセス者の識別と認証の不備(10件)、情報システムの使用に伴う漏えい等の防止の不備(8件)などに対して指導を行っている。
・漏えい等報告の提出の遅延に関し、55件の指導を行っている。
【行政機関等:計42件】
・メールの宛先誤りや添付ファイル内の保有個人情報の削除の不備による漏えいのほか、誤廃棄・紛失といったヒューマンエラーを原因とする漏えい等事案に対し、安全管理措置の不備等について指導。
・指導等の内容として、媒体の管理等の不備(10件)、誤送付等の防止の不備(4件)などに指導を行っている。
・漏えい等報告の提出の遅延に関し、23件の指導を行っている。
2.マイナンバー法
(1)指導・助言:計12件
組織的安全管理措置(取扱状況を確認する手段の整備)、技術的安全管理措置(アクセス者の識別と認証、外部からの不正アクセス等の防止)、委託先の監督の不十分に加え、漏えい等報告の提出の遅延に関し指導を行っている。
