MENU

個人データ漏えい 報告しないと罰金50万円

column

2022年06月15日

合同会社エムアイティエス代表 水谷哲也

2003年に施行された個人情報保護法は何度か見直しが行われ、新しく見直された点は2022年4月から施行されています。ポイントとして個人データ漏えいが発生した場合、報告と本人への通知が義務化されており、報告義務違反は50万円以下の罰金となります。

漏えいが発生したら報告&通知

個人情報取扱事業者は個人データの漏えい等が発生した場合、報告義務及び本人に対する通知義務が新たに加わりました。この個人情報取扱事業者ですが、個人情報保護法ができた時は、事業で扱う個人データの数が5,000より多ければ個人情報取扱事業者となりましたが数の制限がなくなり、今は個人データを扱う全ての事業者が対象です。つまり出前している蕎麦屋さんなども全て個人情報取扱事業者です。

個人データ漏えいが発生した場合、個人情報保護委員会に報告&本人への通知をしなければなりません。報告には速報(5日以内)、確報(30日もしくは60日以内)があり、個人情報保護委員会のホームページからフォーム入力で報告できます。個人情報保護委員会とは個人情報の適切な管理と利活用を監督する政府機関で、LINEが中国子会社に個人データの再委託をした時などに指導を行っています。

個人情報保護委員会への報告対象となる事案として、メルマガの宛名をBCCで指定すべきところをCCで指定してしまい1000人を超える情報漏えいが出た場合、病院の調剤情報などが入ったUSBメモリーの紛失などがあがっています。

報告&通知を知らない事業者が20%強

トレンドマイクロ社が従業員100人以上の会社を対象に個人情報保護担当者800名を対象にアンケートを行いましたが個人情報保護委員会への報告や本人への通知の義務化について23.1%が把握していませんでした。また過去1年間の個人データ漏えいについて、30.4%の法人組織で個人データの漏洩が発生していることが明らかとなりました。漏えいの原因で多いのが送信ミスなどで、社員や委託先の内部犯行、外部からのサイバー攻撃と続きます。

罰金があがった

改正によって、措置命令・報告義務違反の罰則が重くなりました。

  • 措置命令違反の罰則 1年以下の懲役又は100万円以下の罰金
  • 個人情報データベース等の不正流用 1年以下の懲役又は50万円以下の罰金
  • 報告義務違反の罰則 50万円以下の罰金

これらは個人で法人の場合、1億円以下の罰金などに引き上げられています。

備えましょう

個人データ漏えいを起こすと企業イメージにも波及するため、しっかり備えましょう。まず本当に必要な個人データかどうか確認しましょう。例えば顧客電話番号をデータベース化して持っていても顧客への連絡を、ほとんどメールで行っていれば、そもそも持つ意味がありません。データベースを作った頃はメールアドレスを持つ顧客が少なかったかもしれませんが、時代の変化とともに見直しが必要です。個人データを減らせば、漏えいリスクを下げられます。

個人情報保護管理者をきっちり運用しましょう。個人情報保護法がスタートした頃は総務部長などを個人情報保護管理者に任命していましたが、そのままになっていませんか。退職した人の名前のままになっているケースもあります。しっかり任命して漏えいを防ぐ仕組みをブラッシュアップしましょう。

個人情報保護管理者は現場からの報告ルールと現場への周知を今一度、見直しましょう。実際に漏えいが起きた時にあわてなくてすむように個人情報保護委員会や漏えいした個人への通知手順についても定めてシミュレーションしておきましょう。

  • 掲載しているブランド名やロゴは各社が所有する商標または登録商標です。
  • この情報の著作権は、執筆者にあります。
  • この情報の全部又は一部の引用・転載・転送はご遠慮ください。

関連コラム

ITコラム情報銀行で自分の情報を売る