課題Ⅰ 第4編① 個人データに関する義務 ― 正確性の確保・安全管理措置・漏えい報告
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない(法22条前段)。ここで重要なのは、「努めなければならない」という表現であり、これは努力義務を意味する。努力義務とは、違反しても直ちに罰則の対象にはならないが、適切な対応が求められるという性質の義務である。
A business operator handling personal information must endeavor to keep personal data accurate and up-to-date within the scope necessary to achieve the purpose of use (Article 22, first part). The key point here is the expression "must endeavor" — this signifies a best-effort obligation. A best-effort obligation means that a violation does not directly result in penalties, but appropriate action is nonetheless required.
法22条:データ内容の正確性の確保等
さらに法22条後段では、利用する必要がなくなった個人データについて、遅滞なく消去するよう努めなければならないと規定している。注意すべきは、消去もまた努力義務であるという点である。ガイドラインでは、「努める」という文言は法的拘束力のある絶対的義務ではなく、合理的な範囲で対応すべきものとされている。なお、他の法令で保存期間が定められている場合は、その期間中は消去義務は発生しない。
Furthermore, Article 22 (latter part) stipulates that personal data that is no longer needed must be deleted without delay on a best-effort basis. Note that deletion is also a best-effort obligation. The guidelines clarify that the wording "must endeavor" is not an absolute legally binding obligation, but rather requires reasonable action within a rational scope. If other laws prescribe a retention period, the deletion obligation does not arise during that period.
法23条:安全管理措置
法23条は、個人情報取扱事業者に対し、個人データの漏えい、滅失または毀損の防止その他の安全管理のために、必要かつ適切な措置を講じなければならないと定めている。法22条が努力義務であるのに対し、法23条は法的義務である。違反した場合には個人情報保護委員会から勧告・命令の対象となりうる。
Article 23 stipulates that business operators handling personal information must take necessary and appropriate measures for safety management to prevent leakage, loss, or damage of personal data. Unlike Article 22 which is a best-effort obligation, Article 23 is a legal obligation. Violations may result in recommendations or orders from the Personal Information Protection Commission.
10-1 基本方針の策定・10-2 規律の整備
ガイドライン通則編では、安全管理措置の具体的な内容を10-1から10-6に分けて規定している。まず10-1として基本方針の策定がある。これは義務ではないが、個人データの適正な取扱いの確保のため、基本方針を策定することが重要であるとされている。基本方針には、事業者の名称、関係法令の遵守、安全管理に関する事項、苦情処理の窓口などを含めることが望ましい。
The General Rules Guidelines specify the concrete contents of safety management measures in sections 10-1 through 10-6. First, section 10-1 covers the formulation of a basic policy. While this is not mandatory, it is considered important for ensuring proper handling of personal data. A basic policy should desirably include the operator's name, compliance with related laws, matters regarding safety management, and a complaints handling contact point.
10-2では、個人データの取扱いに係る規律の整備が求められる。具体的には、取得、利用、保存、提供、削除・廃棄の各段階における取扱方法、責任者・担当者、その任務などについて規程を整備する必要がある。
Section 10-2 requires the development of rules governing the handling of personal data. Specifically, it is necessary to develop regulations covering handling methods at each stage — acquisition, use, storage, provision, and deletion/disposal — as well as the responsible persons, persons in charge, and their duties.
10-3 組織的安全管理措置
10-3は組織的安全管理措置であり、5つの項目から構成される。(a)組織体制の整備として、個人データの取扱いに関する責任者の設置、取扱う従業者の明確化、報告連絡体制の整備などを行う。(b)規律に従った運用として、個人データの取扱いの記録や利用状況の記録を行う。
Section 10-3 covers organizational safety management measures, consisting of five items. (a) Development of organizational structure: establishing a person responsible for personal data handling, clarifying which employees handle data, and developing reporting and communication systems. (b) Operation in accordance with rules: recording the handling of personal data and logging usage status.
(c)取扱状況を確認する手段の整備として、個人データの取扱状況を一覧できる手段を整備する。(d)漏えい等事案に対応する体制の整備として、漏えい等が発生した場合の対応手順をあらかじめ定める。(e)取扱状況の把握および安全管理措置の見直しとして、定期的に安全管理措置を評価し、必要に応じて改善する。
(c) Development of means to verify handling status: developing means to provide an overview of personal data handling status. (d) Development of a system to respond to breach incidents: establishing response procedures in advance in case of leakage. (e) Monitoring handling status and reviewing safety management measures: periodically evaluating safety management measures and improving them as necessary.
10-4 人的安全管理措置
10-4は人的安全管理措置である。主な内容は従業者に対する教育の実施である。個人データの適正な取扱いに関する留意事項について、従業者に定期的な研修や教育を実施しなければならない。また、秘密保持に関する事項を就業規則に盛り込むことも含まれる。
Section 10-4 covers human safety management measures. The main content is providing education to employees. Regular training and education regarding points to be mindful of in the proper handling of personal data must be carried out. This also includes incorporating confidentiality provisions into employment regulations.
10-5 物理的安全管理措置
10-5は物理的安全管理措置である。(a)個人データを取り扱う区域の管理:取扱区域への入退室管理、権限のない者の立ち入り制限などを行う。(b)機器および電子媒体等の盗難等の防止:個人データを取り扱う機器、電子媒体等を施錠できる場所に保管する。
Section 10-5 covers physical safety management measures. (a) Management of areas where personal data is handled: managing entry and exit to handling areas and restricting access by unauthorized persons. (b) Prevention of theft of equipment and electronic media: storing equipment and electronic media that handle personal data in lockable locations.
(c)電子媒体等を持ち運ぶ場合の漏えい等の防止:暗号化、パスワード設定などにより移送中の安全を確保する。(d)個人データの削除および機器、電子媒体等の廃棄:個人データが記録された機器や媒体を廃棄する場合は、復元不可能な手段で削除・廃棄しなければならない。
(c) Prevention of leakage when transporting electronic media: ensuring safety during transport through encryption, password protection, etc. (d) Deletion of personal data and disposal of equipment/electronic media: when disposing of equipment or media containing personal data, it must be deleted/disposed of using methods that make restoration impossible.
10-6 技術的安全管理措置
10-6は技術的安全管理措置である。(a)アクセス制御:担当者および取り扱う個人情報データベース等の範囲を限定する。(b)アクセス者の識別と認証:ID・パスワード、生体認証等により正当な利用者であることを確認する。(c)外部からの不正アクセス等の防止:ファイアウォール、侵入検知システム等を導入する。(d)情報システムの使用に伴う漏えい等の防止:メール送信時の暗号化や添付ファイルの保護を行う。
Section 10-6 covers technical safety management measures. (a) Access control: limiting the scope of persons in charge and the personal information databases they may access. (b) Identification and authentication of access users: confirming legitimate users through IDs/passwords, biometric authentication, etc. (c) Prevention of unauthorized external access: installing firewalls, intrusion detection systems, etc. (d) Prevention of leakage associated with information system use: encrypting emails and protecting file attachments.
法24条:従業者の監督
法24条は、個人情報取扱事業者に対し、従業者に個人データを取り扱わせるにあたり、安全管理が図られるよう必要かつ適切な監督を行う義務を課している。ここで「従業者」とは、正社員のみならず、契約社員、パート、アルバイト、派遣社員、取締役、執行役員、監査役なども含む広い概念である。
Article 24 imposes on business operators handling personal information the obligation to carry out necessary and appropriate supervision so that safety management is ensured when having employees handle personal data. Here, "employee" is a broad concept that includes not only regular employees but also contract workers, part-timers, temporary staff, dispatched employees, directors, executive officers, and auditors.
従業者が個人データを漏えいさせた場合、事業者が監督義務を果たしていなければ、その責任は事業者に帰属する。具体的な監督措置としては、秘密保持契約(NDA)の締結、定期的な研修の実施、アクセス権限の適切な設定・管理などが挙げられる。退職時においても秘密保持義務を課すことが望ましいとされている。
If an employee leaks personal data and the business operator has not fulfilled their supervisory obligation, responsibility is attributed to the business operator. Specific supervisory measures include executing non-disclosure agreements (NDAs), conducting periodic training, and appropriately setting and managing access permissions. It is also considered desirable to impose confidentiality obligations even upon resignation or retirement.
法25条:委託先の監督
法25条は、個人データの取扱いの全部または一部を委託する場合、委託先に対し必要かつ適切な監督を行わなければならないと定めている。ガイドラインでは、委託先の監督として3つの重要な措置が示されている。
Article 25 stipulates that when outsourcing all or part of the handling of personal data, necessary and appropriate supervision of the outsourcing party must be carried out. The guidelines identify three key supervisory measures for outsourcing partners.
第一に、適切な委託先の選定である。委託先が十分な安全管理措置を講じているかどうかを事前に確認しなければならない。第二に、委託契約の締結である。契約には、安全管理措置の内容、再委託の制限、事故発生時の報告義務、契約終了時の個人データの返還・消去などを盛り込む。第三に、委託先における個人データの取扱状況の把握である。定期的な監査や報告徴求によって実態を把握する。
First, appropriate selection of the outsourcing party. One must verify in advance whether the outsourcing party has sufficient safety management measures. Second, execution of an outsourcing contract. The contract should include the content of safety management measures, restrictions on sub-outsourcing, reporting obligations in case of incidents, and return/deletion of personal data upon contract termination. Third, monitoring the outsourcing party's handling of personal data. Actual conditions are monitored through periodic audits and requesting reports.
再委託については、委託元の許諾を得なければならない。再委託先に対しても、委託元は間接的に監督責任を負う。つまり、委託→再委託→再再委託と連鎖する場合でも、最初の委託元の監督義務は消滅しない。
Regarding sub-outsourcing, permission from the original outsourcer must be obtained. The original outsourcer bears indirect supervisory responsibility even toward the sub-outsourcing party. In other words, even if the chain extends from outsourcing to sub-outsourcing to sub-sub-outsourcing, the original outsourcer's supervisory obligation does not disappear.
法26条:漏えい等の報告等(2022年改正)
法26条は、漏えい、滅失または毀損(以下「漏えい等」)が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会(PPC)への報告と本人への通知を義務づけている。2022年4月の改正により、従来の努力義務から法的義務に格上げされた。これは試験頻出の改正点である。
Article 26 mandates reporting to the Personal Information Protection Commission (PPC) and notification to the affected individual when leakage, loss, or damage (collectively "leakage, etc.") occurs and there is a significant risk of harming individual rights and interests. The April 2022 amendment upgraded this from a best-effort obligation to a legal obligation. This is a frequently tested amendment point.
報告義務が発生する要件は、以下の4つのいずれかに該当する場合である。(1)要配慮個人情報の漏えい等が発生し、または発生したおそれがある場合。(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等。(3)不正の目的をもって行われたおそれがある個人データの漏えい等(不正アクセスを含む)。(4)漏えい等した個人データの本人の数が1,000人を超える場合。
The reporting obligation is triggered when any one of the following four conditions is met: (1) Leakage of specially handled personal information (sensitive data) has occurred or is suspected. (2) Leakage of personal data where unauthorized use may cause financial harm. (3) Leakage of personal data that appears to have been carried out with malicious intent (including unauthorized access). (4) The number of affected individuals exceeds 1,000.
報告は二段階で行う。まず速報として、事態を知った日から3~5営業日以内にPPCに速報を行う。速報の時点では全ての事項が判明していなくても、把握している範囲で報告すればよい。次に確報として、事態を知った日から30日以内に確報を提出する。ただし、上記(3)の不正の目的によるおそれがある場合は、確報の期限が60日以内に延長される。
Reporting is carried out in two stages. First, a preliminary report must be submitted to the PPC within 3-5 business days of becoming aware of the incident. At the preliminary report stage, not all details need to be confirmed — reporting within the scope of what is known is sufficient. Next, a detailed report must be submitted within 30 days of becoming aware of the incident. However, in case (3) — where the breach appears to have been carried out with malicious intent — the detailed report deadline is extended to 60 days.
本人への通知も義務である。漏えい等の事態が発生した場合、事業者は本人に対しても速やかに事態の概要、漏えいした個人データの項目、原因、二次被害の防止のための措置などを通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要な代替措置を講じるときは、個別の通知に代えることができる。代替措置の例としては、ホームページでの公表や問い合わせ窓口の設置がある。
Notification to the individual is also mandatory. When a breach occurs, the business operator must promptly notify the individual of the outline of the incident, the categories of leaked personal data, the cause, and measures to prevent secondary damage. However, if notification to the individual is difficult and necessary alternative measures are taken to protect the individual's rights and interests, individual notification may be replaced. Examples of alternative measures include publishing on a website and establishing an inquiry contact point.