個人情報漏洩時の対応

公開日 2023.06.10

　個人情報の流出等が確認された場合に関する規定は、個人情報保護法（以下「PDPA」）37条４項及び、同項の規定を受けた個人情報保護委員会（以下「PDPC」）のThe Notification of the Personal Data Protection Committee, re: Rules and Methods for Notification of the Personal Data Breach B.E. 2565 (2022)（以下「通達」）とこの通達に関するマニュアル（以下「マニュアル」）にその細則が定められている。本稿では、事業に際して取得した個人情報を管理する会社（以下「個人情報管理者」）において、個人情報の漏洩が発生した場合にとるべき対応について説明する。

1 PDPC及び本人への通知
2 情報漏洩の状況による類型
3 PDPCへの通知方法及び通知内容
4 個人本人への通知方法及び通知内容
5 まとめ

PDPC及び本人への通知

情報漏洩やその可能性が発覚した場合、状況を把握した時から可能な限り72時間以内にその漏洩状況についての通知をPDPCに対して行うことが、PDPA37条４項に規定されている。これを受けた通達では漏洩の事実もしくは可能性を確認した場合の対応として、まず初期的にその漏洩が発生したか否かの調査を行い、その上でPDPCに対する通知を行うものとされている。

もっとも、初期的な調査の結果、個人の自由及び権利に影響を与えるリスクがないといえる相当高度な可能性がある場合にはPDPCへの通知は不要とされている。

72時間以内に情報漏洩についての通知がPDPCに対して行えなかった場合、通知の期限を延長するため、情報漏洩を把握した時から15日以内に、通知が遅延することが不可避であったことを説明する書類をPDPCに提出する必要がある。

さらに通達では、漏洩により個人の自由及び権利に影響を与えるリスクが高い場合（ハイリスク）、個人本人に対し迅速に漏洩状況及び救済方針を通知する必要があるとしている。

情報漏洩の状況による類型

通達では情報漏洩の状況に応じて類型分けがされている。

（A）秘密保持の侵害とは、個人情報への事故、ミス、不正または違法なアクセスまたは開示をいう。
（B）完全性の侵害とは、事故、ミス、不正または違法な修正により、個人情報が不正確、不完全、または無効となることをいう。
（C）可用性の侵害とは、個人情報を利用できない状態にすること、または個人情報が破壊され、利用できない状態になることをいう。

そしてマニュアルによれば、例えばランサムウェアの攻撃により個人情報管理者が保有するすべての個人情報がハッカーによって暗号化され、バックアップがないため個人情報にアクセスできず利用できなくなる場合には、秘密保持の侵害や可用性の侵害の類型であると考えられる。また「ハイリスク」の状況と評価され、個人情報管理者はPDPCおよび影響を受ける個人に情報漏洩を通知する必要がある、とされている。

PDPCへの通知方法及び通知内容

PDPCへの通知方法としては、書面又は電子的方法、その他 PDPCが定める方法によるとされている。そして通知の内容としては、以下を記載する必要がある。

（１）情報漏洩の性質と種類に関する情報
（２）個人情報保護責任者(DPO)又は個人情報管理者が指定した連絡窓口の連絡先情報
（３）情報漏洩による潜在的な影響に関する情報
（４）個人情報管理者が当該情報漏洩を是正するため、または当該事案を改善するために講じた、又は講じる予定の措置に関する情報

個人本人への通知方法及び通知内容

個人本人に対しても迅速に漏洩状況及び救済方針を告知する必要がある場合の通知方法は、原則として本人に対して個別に書面又は電子的方法で行うとされている。個人情報管理者が本人に対して個別に通知を行うことができない場合、個人情報管理者の会社ウェブサイトなどで、侵害を受けた個人本人または公衆がアクセス可能な方法によって、通知をすることができるとされている。
遅滞なく通知すべきとされている事項は以下のとおりである。

（１）情報漏洩の性質と種類に関する情報
（２）個人情報保護責任者(DPO)又は個人情報管理者が指定した連絡窓口の連絡先情報
（３）情報漏洩による潜在的な影響に関する情報
（４）(個人情報を提供した)個人本人に生じた損害に対する救済措置、及び個人本人に対するさらなる損害を防止するための措置に関する勧告を含む、個人情報管理者が当該情報漏洩を防止、抑制又は是正するために講じた又は講じる予定の措置に関する情報