5 漏えい等報告
- Q4-6
個人データ等の漏えい等が発生した場合、金融機関は個人情報保護委員会又は監督当局に報告する義務を負うか。
- A4-6
金融機関は、個人データ等の漏えい等が発生した場合、以下のとおり、個人情報保護委員会又は監督当局に報告する義務又は努力義務を負います。
- 個人情報保護法に基づく報告(金融分野ガイドライン第 11 条第1項前段:義務規定)
個人情報保護法第 26 条第1項に基づき、個人情報保護法施行規則第7条各号に定める事態を知ったときは、通則ガイドライン 3-5-3 に従って、個人情報保護委員会、金融庁長官、財務局長、財務支局長又は都道府県知事に報告を行う必要があります(報告先については、問Ⅴ-3をご参照下さい)。
※個人情報保護法施行規則第7条各号に定める事態(通則ガイドライン 3-5-3-1)
- マル1 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
- マル2 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- マル3 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
- マル4 個人データに係る本人の数が 1,000 人を超える漏えい等が発生し、又は発生したおそれがある事態
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には、報告を要しません。
-
※個人情報保護法施行規則第7条の「個人データ」の考え方(通則ガイドライン 3-5-1-1)規則第7条は、法第 26 条第1項に基づく漏えい等の報告の対象となる事態について定めているところ、規則第7条に規定する「個人データ」とは、個人情報取扱事業者が取り扱う個人データをいう。
ただし、同条第3号に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれる。
そのため、同号に定める事態との関係では、「個人データ」は、個人情報取扱事業者が取り扱う個人データに加え、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」を含む。
- 各業法に基づく報告(金融分野ガイドライン第 11 条第1項後段:義務規定)
各業法(銀行法第 12 条の2・銀行法施行規則第 13 条の6の5の2等)に基づき、その取り扱う個人顧客に関する「個人データ」の漏えい等が発生し、又は発生したおそれがある事態を知ったときは、監督当局に報告を行う必要があります(各業法等)。
なお、個人顧客に関する「個人データ」の漏えい等が、個人情報保護法施行規則第7条各号に定める事態にも該当する場合には、上記⑴の個人情報保護法に基づく報告も併せて行う必要があります。
- (注)漏えい等が発生し、又は発生したおそれがある個人顧客に関する個人データについて、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合であっても、各業法に基づく報告を行う必要があります。
- (注)金融機関自身の雇用管理情報や株主情報の中に含まれる個人データの漏えい等については、各業法、金融分野ガイドライン及び実務指針の対象外であるため、各業法に基づく報告(義務)、金融分野ガイドライン第 11 条第2項に基づく報告(努力義務)の対象とはなりません。
- 金融分野ガイドラインに基づく報告(金融分野ガイドライン第 11 条第2項:努力義務)
金融分野ガイドライン第 11 条第2項は、金融機関が取り扱う情報の性質やその取扱方法の特殊性等に鑑み、「金融分野における個人情報取扱事業者は、次に掲げる事態(前項に規定する事態を除く。)を知ったときは、同項の規定に準じて、監督当局に報告することとする。」との努力義務を定めています。
※金融分野ガイドライン第 11 条第2項に定める「次に掲げる事態」
- マル1 その取り扱う個人情報の漏えい等が発生し、又は発生したおそれがある事態
- マル2 その取り扱う仮名加工情報に係る削除情報等(法第 41 条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
金融機関においては、金融分野ガイドライン第 11 条第2項に基づき、「法人顧客に関する個人データ」の漏えい等事案、「顧客(個人・法人を問わない)に関する個人情報」の漏えい等事案、「仮名加工情報に係る削除情報等」又は「匿名加工情報に係る加工方法等情報」の漏えい事案が発生した場合には、基本的には監督当局に報告することが望ましいと考えられます。
(表1)個人データ等の漏えい等の発生時における個人情報保護委員会又は監督当局への報告に関する規定 規定 対象となる情報 対象事業者 位置付け (1)個人情報保護法に基づく報告 個人データ
(個人情報保護法施行規則第7条各号に該当する事態が生じたとき)個人情報取扱事業者 報告義務 ⑵各業法に基づく報告 個人顧客に関する個人データ 各業法の適用を受ける全ての金融機関 報告義務 ⑶金融分野ガイドラインに基づく報告(⑴⑵を除く) - 個人情報
- 仮名加工情報に係る削除情報等
- 匿名加工情報に係る加工方法等情報
(ただし、個人顧客に関する個人データを除く)
金融分野における個人情報取扱事業者 報告の努力義務 (表2)対象となる情報の整理(報告の義務がかかるのは網掛けの部分) 個人に関する情報 個人に関する情報 個人データ 個人情報、削除情報等及び加工方法等情報 顧客 - ⑴の報告義務
- ⑵の報告義務
⑶の努力義務 非顧客 - ⑴の報告義務
- ⑶の努力義務
⑶の努力義務 - (注)金融機関自身の雇用管理情報や株主情報の中に含まれる個人データの漏えい等について、個人情報保護法第 26 条第1項に基づき漏えい等報告を行う場合には、個人情報保護委員会に対して報告を行う必要があります。
また、金融機関自身の雇用管理情報や株主情報の中に含まれる個人データや個人情報等の漏えい等については、各業法、金融分野ガイドライン及び実務指針の対象外であるため、⑵の報告義務、⑶の努力義務の対象とはなりません。ただし、これらの情報であっても、漏えい等が発生し、金融機関の信用を害するおそれがある場合には、任意に監督当局へ報告していただくことが望ましいと考えます。
- 個人情報保護法に基づく報告(金融分野ガイドライン第 11 条第1項前段:義務規定)