ここ数日、Trelloの設定ミスにより採用情報がダダ漏れになっているというニュースが話題になっています。
プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か(ITmedia NEWS)
EC・ネットショップ事業者の皆様の中にも、Trelloを愛用している方は多いと思います。
このような個人情報漏えい事故を起こしてしまった事業者は、どのような対応をとるべきなのでしょうか?
弁護士が解説します。
本人に報告する義務はある?
まず、trello上の採用情報がネット上で閲覧可能であったような場合、事業者が本人に対して連絡をする必要はあるのでしょうか?
答えは、「法的な義務ではないが、ネットで拡散されてしまったような重大な場合は報告が強く推奨される」です。
少々複雑ですので、少しずつ解説します。
まずは個人情報保護法の条文を見てみましょう。
個人情報保護法では、個人情報の漏えいがおきないように必要な措置を講じるように、ということが書かれているだけです(法第20条)。
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
そして、漏えい事故が起きた場合の対応について、個人情報保護法に基づいて制定された個人情報保護法ガイドライン(通則編)では、「別に定める」とされています。
4 漏えい等の事案が発生した場合等の対応
漏えい等(※)の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める。
そして、この「別に定める」がどこに定められているかというと、個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)という告示に定められています。
告示では、「影響を受ける可能性のある本人に対して連絡をするように、と書かれています(告示2項(5))。
2.漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等事案が発覚した場合は、次の(1)から(6)に掲げる事項について必要な措置を講ずることが望ましい。
(中略)
(5)影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
だいぶわかりにくいですね(^o^;)
ここでポイントは、告示に「望ましい」と書かれていることからわかるとおり、影響を受ける本人への連絡は、「望ましい」だけであって、現時点(2021/4/7)では事業者の法的な義務ではないということです。
しかしながら、大企業の漏えい事件などでは、よく企業HPやプレスリリースで、漏えい事件の内容を発表したりしていますよね?
これは、法的な義務ではないものの、上記のガイドラインや告示において推奨されている対応に従うという意味に加えて、当該影響を受ける本人に対する説明責任を果たし、企業としての評価(レピュテーション)に必要以上の悪影響が生じないようにするため、という趣旨があります。
そこで、今回のようなtrelloの公開設定を間違ってしまったようなケースでは、極論すると、影響を受ける本人への連絡は個人情報保護法そのものからは必要ではないのですが、ガイドライン及び告示上も、レピュテーションの観点からも、当該企業のtrelloリンクがSNSなどで拡散されてしまったような重大なケースでは、影響を受ける本人への連絡が強く推奨されるところです。
なお、本人への連絡方法ですが、個別に電話やメールで連絡するという方法の他に、たとえばガイドラインのQ&A集では、「本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応」などの方法でもよいとされています(Q&A 12-4)。
国や公的機関に報告する義務はある?
次に、漏えい事故を起こしてしまった場合、国などの公的機関に報告をする義務はあるのでしょうか?
個人情報保護法については、「個人情報保護委員会」が所管しているため、同委員会への報告の要否が問題となります。
こちらも、極論から申し上げると、個人情報保護法の中では、報告の「義務」は定められていません。
が、上記の「告示」の中で、原則として個人情報保護委員会に対する報告をするように、と定められています。
報告は、個人情報保護委員会のHP上で可能となっています。
ただし次のような影響が軽微なケースでは、報告は不要とされています。
①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合
(※3)
(※3)なお、「実質的に個人データ又は加工方法等情報が外部に漏えいしていない
と判断される場合」には、例えば、次のような場合が該当する。
・漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
・漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
・漏えい等事案に係る個人データ又は加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)
・個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合
②FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合(※4)
(※4)なお、「軽微なもの」には、例えば、次のような場合が該当する。
・FAX 若しくはメールの誤送信、又は荷物の誤配等のうち、宛名及び送信者名
以外に個人データ又は加工方法等情報が含まれていない場合
当該URLが拡散などされる前に企業側が公開設定の変更に奏功した場合には、「漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合」にあたるものとして告示に照らしても報告の必要はないと考えることもできるでしょう。
まとめ
いかがでしたでしょうか。
以上のとおり、個人情報の漏えい事故があった場合の本人や国(個人情報保護委員会)への連絡、報告は、法的な義務ではないが推奨されるという、なんとも曖昧な状態となっています。
他方で、度重なる個人情報の漏えいや国際的な潮流も踏まえて、2020年改正個人情報保護法(2022年施行予定)では、一定の場合に、個人情報漏えい事故の内容を個人情報保護委員会に報告することが義務化されることになっています。
現時点(2021/4現在)では、厳密に法的な対応というところでいうと事業者の判断に委ねられている部分が多いのが実情ですが、2022年の改正法施行後は、そのような曖昧な対応では許されなくなりますので注意が必要です。
いずれにせよ、Trello問題について、該当する事業者は一刻も早く公開設定を変更し情報が拡散しないことに努めましょう。広く採用情報が拡散してしまった事業者については、本ブログで紹介した現状の個人情報保護法の建て付けを踏まえた上で、具体的な対応を検討しましょう。
本ブログでも改正法や改正ガイドラインの内容について引き続きフォローしていきます。