会社法,商取引法,M&A・事業承継,倒産・再生,IT・知財,労働法,公益通報・コンプライアンス等について,企業法務を取り扱う弁護士が豊富な実務経験に基づき解説しています。
> 2023/08/30 インターネット・情報
個人データの取扱い委託先事業者における個人データの漏えい対応
Q1.委託先における個人データ漏えい時における委託元の報告義務及び通知義務
当社(委託元)の個人データの取扱いを委託している会社(委託先)から「不正アクセスにより、個人データを格納しているサーバーから委託された個人データを含むデータが漏えいした可能性がある」との連絡を受けました。
不正アクセスを受けて漏えいした可能性があるのは委託先であるため、当社(委託元)には、漏えいについて、個人情報保護委員会へ報告したり、本人へ通知をする義務はないという理解でよいでしょうか。
Q2.委託先において報告及び通知義務が免除される場合
当社は、他社から個人データの取扱いの委託を受けているのですが、不正アクセスにより、個人データを格納しているサーバーから委託を受けている個人データが漏えいしたかもしれません。
委託元に対しては、個人データが漏えいした可能性があること連絡しようと思っていますが、その他に、個人情報保護委員会への報告や本人への通知も行わなければならないでしょうか。
A1.いいえ。個人データの取扱いを委託している場合、委託先だけではなく、委託元である個人情報取扱事業者にも個人情報保護委員会(※)への報告義務(以下「報告義務」といいます。)及び本人への通知義務(以下「通知義務」といいます。)が課されます。
※ 個人情報保護委員会が個人情報の保護に関する法律(以下「法」といいます。)第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣が報告先となります。
A2.委託先においては、報告義務及び通知義務が免除される場合があります。
委託先は、委託元である個人情報取扱事業者に対し、個人情報保護委員会規則(以下「規則」といいます。)が定める適切な通知をしたときは、報告義務及び通知義務を免れ、この場合、委託先からの通知を受けた委託元のみが報告及び通知をすることとなります。
(説明)
1 報告義務及び通知義務の根拠
以下に引用するとおり、報告義務は法第26条第1項本文に、通知義務は同条2項に、それぞれ定められており、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者(委託元及び委託先)が報告義務及び通知義務の主体となります(個人情報の保護に関する法律についてのガイドライン(通則編)(以下「GL通則編」と記載します。)3-5-3-2、3-5-4-1参照)。
~法第26条抜粋~
1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。…略…
2 前項に規定する場合には、個人情報取扱事業者…略…は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。…略…
~~
2 委託先が報告義務及び通知義務を免れる場合
委託先においては、報告義務を負う委託元に対し、次に掲げる①から⑨までの事項(GL通則編3-5-3-3に詳細の記載があります。)のうち、その時点で把握しているものを通知したときは、報告義務及び通知義務が免除されます(法26条1項但書、同条2項括弧書、規則9条同8条。GL通則編3-5-3-5、3-5-4-1参照。)。
① 概要
② 漏えい等が発生し、又は発生したおそれがある個人データの項目
③ 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
④ 原因
⑤ 二次被害又はそのおそれの有無及びその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置
⑨ その他参考となる事項
~法第26条抜粋~
1 個人情報取扱事業者は、…略…当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 …略…個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し…略…通知しなければならない。
~~
3 補足
(1)本人への通知義務の例外
本人に対する通知義務を負う場合であっても、本人への通知が困難である場合(連絡先が古く通知できない場合等)は、通知に代えて、本人の権利利益を保護するために必要な代替措置(事案の公表等)を講ずることが認められます(法26条2項但書、GL通則編3-5-4-5参照)。
~法第26条抜粋~
2 …略…ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
~~
(2)報告義務を免除された委託先の委託元への協力
委託先は、委託元に対し、前記「2」の通知をしたとしても、委託元の報告義務の履行に当たって、事案の把握を行うことのほか、必要に応じて委託元の漏えい等報告に協力することが求められます(GL通則編3-5-3-5参照)。
4 最後に
個人データの取扱いの委託は広く行われているところ、委託先に漏えいが生じた場合には、以上のように委託元においても適切に対応することが求められます。
また、平時においても、委託元には、委託先に対する監督義務(法25条)が課されておりますので、個人データの取扱いを委託する際には、委託先との適切な委託契約の締結をすることのほか、委託先における委託された個人データの取扱状況を把握する等といったことが重要となります。
弁護士 西川 文彬
このコラム執筆者へのご相談をご希望の方は,こちらまでご連絡ください。
※ご連絡の際には,コラムをご覧になられた旨,及び,執筆弁護士名の記載がある場合には弁護士名をお伝えください。
直通電話 03-5215-7390
『企業法務診断室』では、田島・寺西法律事務所所属弁護士が、豊富な実務経験に基づきよくある相談への一般的な回答例を紹介しています。
事案に応じたピンポイントなご回答をご希望の方は、面談での法律相談をご利用ください。
遠隔地の方でもZOOMにて対応しています。