- (報告の対象となる事態)
- Q6-7
第三者の作成した個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)に本人がアクセスし、ID やパスワード等を入力した場合、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等」(施行規則第7条第3号)に該当し報告対象となりますか。
具体的には、以下の場合は報告対象となりますか。
- ① 本人が、当該個人情報取扱事業者の正規のウェブサイトや当該個人情報取扱事業者が送信したメール等を経由せずに偽のウェブサイトにアクセスし、ID やパスワード等を入力した場合
- ② 第三者が、偽のウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイト又は当該個人情報取扱事業者が送信したメール等に不正に設置又は記載し、本人が、当該リンクをクリックして当該偽のウェブサイトにアクセスし、ID やパスワード等を入力した場合
- A6-7
それぞれ次のように考えられます。
- ①:個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(以下本項において「偽装ウェブサイト」という。)を第三者が不正に作成する行為は、直ちに「当該個人情報取扱事業者に対する行為」に該当するものではないと考えられます。また、本人が第三者に個人情報取扱事業者の取り扱う個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。以下本項において同じ。)と同じ内容の情報を詐取されたのみでは、第三者に当該個人情報取扱事業者の取り扱う個人データが漏えいしたこととはなりません。そのため、 ①のようなケースは、当該個人情報取扱事業者による報告対象になるものではないと考えられます。
- ②:第三者が、偽装ウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイトや当該個人情報取扱事業者が送信したメール等に不正に設置等する行為は「当該個人情報取扱事業者に対する行為」に該当すると考えられます。また、偽装ウェブサイトに入力された情報が、当該個人情報取扱事業者が「取得しようとしている」情報に該当するか否かは、個別の事案ごとに判断されます。例えば、正規のウェブサイト上の、ID 及びパスワード等を入力する入力ページに遷移するためのリンクが改ざんされていた場合に、当該リンクをクリックした個人が、当該クリックにより遷移した偽の入力ページにおいてID及びパスワード等を入力したときには、当該ID 及びパスワード等は、当該個人情報取扱事業者が「取得しようとしている」情報に該当すると考えられます。
そのため、②のようなケースの第三者の行為が原因となり、本人が、当該個人情報取扱事業者が「取得しようとしている」個人情報を偽装ウェブサイトに入力し、当該個人情報が第三者に送信された場合、当該個人情報の「漏えい」に該当するため、当該個人情報取扱事業者が当該個人情報を個人情報データベース等へ入力すること等を予定していれば、当該個人情報取扱事業者による報告対象になると考えられます。
いずれにせよ、正規のウェブサイトを運営する個人情報取扱事業者においては、本人が個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があると考えられます。
(令和6年3月追加)