1 はじめに
個人情報保護法は令和2年、令和3年に改正され、令和4年4月1日から施行されます。今回は民間企業に関係すると思われる令和2年改正について、その中でも特に重要と思われる個人情報漏えい時の当局報告と本人通知が義務化された件(改正個人情報保護法22条の2)についてポイントを絞って説明していきます。
2 改正前~個人情報漏えいがあった場合
企業は、個人情報が漏えいしたとしても、①個人情報保護委員会に報告する義務はなく、②本人への通知義務はありませんでした。しかし、改正個人情報保護法では、①②が義務化されることになりました。
3 当局への報告義務
企業は、個人情報が漏えいした場合、一定の場合に個人情報保護委員会に期限内に報告する義務が課されることになりました。
一定の場合とは、①漏えいした個人情報が要配慮個人情報の場合、②財産的被害が発生する恐れがある場合、③故意など不正目的又はその恐れがある場合、④1001人以上に漏えいした場合になります(規則)。
報告は漏えいを知った日から30日以内に行わなければなりません。なお報告はインターネットで行うことになります(規則)。
4 本人通知義務
企業は、個人情報が漏えいした場合、個人に対して、速やかに、本人の権利利益を保護するために必要な範囲で通知する義務が課されることになりました。
もっとも、本人通知が困難な場合、事案の公表など代替措置を採ることができます。また、本人通知は、当局への報告とは異なり、「速やかに」の期限の目安は設けられていません。
