4 安全管理措置等
- Q4-17
個人データ等の漏えい等が発生した場合、金融機関は本人に通知する義務を負うか。
- A4-17
金融機関は、個人データ等の漏えい等が発生した場合、以下のとおり、本人に通知等する義務又は努力義務を負います。
- 個人情報保護法に基づく通知等(金融分野ガイドライン第 11 条第3項前段:義務規定)
個人情報保護法第 26 条第2項に基づき、個人情報保護法施行規則第7条各号に定める事態を知ったときは、通則ガイドライン 3-5-4 に従って、本人への通知を行う必要があります。本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められます。
※個人情報保護法施行規則第7条各号に定める事態(通則ガイドライン 3-5-3-1)
- ① 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
- ② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- ③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- ④ 個人データに係る本人の数が 1,000 人を超える漏えい等が発生し、又は発生したおそれがある事態
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には、本人への通知等を要しません。
- 金融分野ガイドラインに基づく通知等(金融分野ガイドライン第 11 条第3項後段:努力義務)
金融分野ガイドライン第 11 条第3項後段は、金融機関が取り扱う情報の性質やその取扱方法の特殊性等に鑑み、「金融分野における個人情報取扱事業者は、次に掲げる事態(施行規則第7条各号に定める事態を除く。)を知ったときも、これに準じて、本人への通知等を行うこととする。」との努力義務規定を定めています。
金融機関が取り扱う情報の性質等に鑑みれば、基本的には全ての漏えい等事案について本人への通知等を行うことが望ましいと考えられます。
なお、本人への通知が困難である場合には、代替措置として、事案の公表を行うことも考えられます。また、例えば、漏えい等した個人データについて、高度な暗号化等の秘匿化措置が講じられている場合や、漏えいした個人データを即時に回収した場合等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合等には、本人への通知を要しないものと考えられます。
※金融ガイドライン第 11 条第3項後段に定める「次に掲げる事態」
- ① その取り扱う個人データ(仮名加工情報である個人データを除く。)の漏えい等が発生し、又は発生したおそれがある事態
- ② その取り扱う個人情報(仮名加工情報である個人情報を除く。)の漏えい等が発生し、又は発生したおそれがある事態
- ③ その取り扱う仮名加工情報に係る削除情報等(法第 41 条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
- 個人情報保護法に基づく通知等(金融分野ガイドライン第 11 条第3項前段:義務規定)