第698号コラム:「セキュリティ侵害通知義務をめぐって」

第698号コラム:湯淺 墾道 副会長(明治大学 公共政策大学院 ガバナンス研究科 教授)
題:「セキュリティ侵害通知義務をめぐって」

個人情報保護法は、令和2年に改正され令和4年から施行されることになっていた。しかし、令和3年にもデジタルトランスフォーメーション関連の法律が制定されたために再度大きく改正され、令和5年から施行される見通しである。このため、令和2年改正法が令和4年に施行、令和3年改正法が令和5年に施行というように、2年連続で改正法が施行されることになるが、民間事業者に対して与える影響が大きいのは令和2年改正のほうであろう。

令和2年改正のうち、デジタル・フォレンジックとの関わりが大きいのは、個人情報漏えい時の個人情報保護委員会への報告・本人への通知がついに義務化された点である。

このような報告と本人への通知義務は、一般に諸外国ではセキュリティ侵害通知法(Security Breach Notification Law)やセキュリティ侵害通知義務(Security BreachNotification Obligation)と呼ばれているものに該当すると考えられる。セキュリティ侵害通知義務は、2002年にアメリカのカリフォルニア州が州法として制定して翌年から施行したことにより普及するようになった。現在ではアメリカでは50州すべてとコロンビア特別区で制定されているほか、連邦法では医療福祉領域と金融領域などで監督機関への報告と本人への通知義務を定めている。またEUの一般データ保護規則(GDPR)も同様の規定を置いているほか、EUのNIS指令(Network and InformationSecurity (NIS) Directive、ネットワークおよび情報セキュリティ指令)も、社会基盤となるサービスを提供している事業者にインシデント報告義務を課している。

今回の日本の個人情報保護法改正で報告・通知の義務が発生するのは、(1)要配慮個人情報が漏えいした場合、(2)財産的被害が発生するおそれがある場合、(3)不正アクセス等故意によるもの、(4)1,000人を超える漏えいが発生した場合、のいずれかである。個人情報保護委員会に報告しなければならないのは、概要、漏えいした項目、漏えいした個人の数、原因、二次被害の恐れの有無と内容、本人への対応の実施状況、公表の実施状況、再発防止措置、その他参考となる情報であり、本人に通知しなければならないのは概要、漏えいした項目、原因、二次被害の恐れの有無と内容、その他参考となる情報とされている。

このセキュリティ侵害通知義務について、筆者は以前から注目していたが、2012年に「アメリカにおける個人情報漏洩通知法制に関する考察」『情報ネットワークロー・レビュー』11巻(2012年)などの論文で、カリフォルニア州以外の州にも州法制定の動きが広まりつつあることを踏まえ、日本における導入の可能性について言及した。理論的にも、当時、個人情報に関する自己情報コントロールの概念が注目されるようになっていたが、自己の個人情報の漏えいを本人が知り得ない状況では自己情報のコントロールのしようがないと思われたからである。しかし、それに対して否定的な反応が多く、日本における導入は非現実的と言われることもあった。またヒューマンエラーが原因というような場合を除き、サイバー攻撃によって個人情報が流出した場合には事業者もまたサイバー犯罪の被害者であって、監督機関への報告や本人への通知を義務付けることは、被害者である事業者にさらに負担を課すことになるという見方もあった。

令和2年改正法の施行によって、日本にもセキュリティ侵害通知義務が導入されることになるが、依然として理論的な側面からの問題は残っている。セキュリティ侵害通知義務を自己情報コントロール権の具体化という観点からとらえるのであれば、1,000人を超える漏えいが発生した場合という要件は疑問である。本人にとって、自分の個人情報が事業者から流出して第三者に暴露されたことによる被害は、同時に個人情報が漏えいした個人の人数によって大小するということにはならないのではないか。同時に漏えいした人数が多ければ多いほどその被害が希釈化される、とは思われない。

他方で、1件、2件というようなインシデントでも報告義務や通知義務を課すことは事業者にとっての負担になるだけではなく、報告を受ける個人情報保護委員会のほうの事務処理が追いつかなくなるという側面もあろう。また先日のデジタル・フォレンジック・コミュニティ2021の研究会2でパネリストから指摘されたように、個人情報保護委員会への報告が速報と確報の2段階で求められ、速報の後30日(前述(3)の場合は60日)以内に確報を行わなければならないとされている点について、30日や60日という期限はかなりタイトであるという問題もある。デジタル・フォレンジック関連事業者にとっても、この期限でインシデント発生企業を支援しなければならないということになると、対応が困難という事態が発生するかもしれない。

いずれにしても、個人情報漏えい時の個人情報保護委員会への報告・本人への通知の義務化は、デジタル・フォレンジックの役割をさらに大きくすると共に、デジタル・フォレンジック関連事業者の実務にも影響を与えることは避けられない。改正法施行後の状況も注視したいと考えている。

【著作権は、湯淺氏に属します】