我が家の猫も今月で2歳半になるのですが、釣り竿型の猫じゃらしが大好きで、遊びすぎて壊してしまうので、既に6代目をお迎えしています。。ちなみに、我が家の猫の名前はシェリーといいまして、前回のブログも見ていただいた方は何かお気づきになるかもしれません。
釣りといえば英語でフィッシングですが、最近はフィッシングサイトによる個人情報の漏えい事案も多く発生しており、自分は引っ掛からないだろうと過信せずに気を付けたいと思っています。
さて、今回は、フィッシングサイトによる個人情報の漏えい等を念頭において2024年4月1日に施行された改正個人情報保護法施行規則のポイントについて、確認したいと思います。
2024年4月1日に施行された改正個人情報保護法施行規則の注目すべきポイントは、漏えい等が発生した場合の個人情報保護委員会への報告義務と本人への通知義務の対象が、「個人データ」から一定の「個人情報」にまで拡大した点になります。
語感的には、「個人情報」と「個人データ」はあまり変わらないようにも思われますが、個人情報保護法上は、取り扱う対象が「個人情報」か「個人データ」かによって大きく異なります。
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名や生年月日等により特定の個人を識別できる情報(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含みます。)をいいます(個人情報保護法第2条第1項)。
他方で、「個人データ」とは、個人情報データベース等[1]を構成する個人情報をいいます(同法第16条第3項)。
例えば、セミナーを開催するにあたり、申込フォームで入力された参加者の氏名や住所などの情報そのものが「個人情報」であり、参加者名簿を作成するため、各参加者の個人情報をスプレッドシートなどにまとめてデータベース化した際に、当該データベースを構成する個人情報を「個人データ」ということになります。
従来、個人情報保護法上は、一定の漏えい等の際に報告義務等の対象となるのは個人データであり、単に個人情報の場合には当該義務を負わないこととされていました。
しかし、このような建付けですと、昨今問題となっているウェブスキミングにより個人情報が盗まれた場合に、個人情報保護委員会への報告義務や本人への通知義務の対象とならないという事態が生じてしまいました。
ウェブスキミングとは、ECサイトなどに不正プログラムを設置して、ユーザーが入力したクレジットカード情報やID・パスワード等の個人情報を盗み出す攻撃手法です。ウェブスキミングでは、ECサイトを運営する事業者のデータベース等にそれらの情報が組み込まれる前に直接盗み出されるため、「個人データ」は盗み出されていないことになります。
そのため、改正前の個人情報保護法施行規則では、ウェブスキミングによる被害が発生したとしても、ECサイトを運営する事業者は報告等を行う義務がありませんでしたが、このような場合にも報告義務等の対象とするために、報告義務等の対象が「個人データ」から「個人情報」に拡大されたというのが、今回の改正の経緯になります[2]。
個人情報保護法では、漏えい等が発生した場合に、あらゆる場合について報告等の義務を課しているわけではなく、以下の4つの場合のいずれかに該当する場合に限って、報告等を義務付けています(個人情報保護法第26条、同法施行規則第7条)。
①要配慮個人情報が含まれる漏えい等の場合
②不正に利用されることにより財産的被害が生じるおそれがある漏えい等の場合
③不正の目的をもって行われたおそれがある個人情報取扱事業者に対する行為による漏えい等の場合
④対象となる個人の数が1000人を超える漏えい等の場合
改正前の個人情報保護法施行規則においては、上記の4つのケースにおいては、いずれも漏えい等の対象が「個人データ」の場合に限って個人情報取扱事業者が報告等の義務を負うこととされていましたが、改正後では、③不正の目的をもって行われたおそれがある個人情報取扱事業者に対する行為による漏えい等の場合には、「個人データ」の漏えい等に限らず、「当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)」の漏えい等も、報告義務等の対象に含まれることになりました(改正個人情報保護法施行規則第7条第3号)。
具体的には、以下のものが同施行規則第7条第3号の「個人データ」に該当します(ガイドラインに関するQ&A 6-1)。今回の改正により、②③④が対象として追加されました。
① 個人情報取扱事業者が取り扱う個人データ
② 個人情報取扱事業者が取り扱う個人情報(個人データとして取り扱われることが予定されているものに限ります。)
③ 個人情報取扱事業者が取得しようとしている個人データ
④ 個人情報取扱事業者が取得しようとしている個人情報(個人データとして取り扱われることが予定されているものに限ります。)
本人が、正規のウェブサイトや正規の事業者が送信したメール等を経由せずに偽装ウェブサイト(いわゆるフィッシングサイト)にアクセスし、ID やパスワード等を入力した場合(フィッシングメール等に記載されたURLのリンク先のフィッシングサイトに本人が直接個人情報を入力したような場合)には、偽装ウェブサイトを攻撃者が設置する行為は、「当該個人情報取扱事業者に対する行為」(正規の事業者に対する行為)に該当するものではないと考えられることから、これにより仮に個人情報が詐取されたような場合でも、正規の事業者には、報告義務等は生じないものとされています(ガイドラインに関するQ&A 6-7)。
第三者が、偽装ウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイトや正規の当該個人情報取扱事業者が送信したメール等に不正に設置等する行為は「当該個人情報取扱事業者に対する行為」(正規の事業者に対する行為)に該当すると考えられています。また、偽装ウェブサイトに入力された情報が、正規の事業者が「取得しようとしている」情報に該当するか否かは、個別の事案ごとに判断されるものとされ、例えば、正規のウェブサイト上の、ID やパスワード等を入力する入力ページに遷移するためのリンクが改ざんされていた場合に、当該リンクをクリックした個人が、当該クリックにより遷移した偽の入力ページにおいてIDやパスワード等を入力したときには、当該ID やパスワード等は、正規の事業者が「取得しようとしている」情報に該当するものと考えられています。
そのため、このようなケースの場合には、第三者の行為が原因となり、本人が、正規の事業者が「取得しようとしている」個人情報を偽装ウェブサイトに入力し、当該個人情報が第三者に送信されたといえ、当該個人情報の「漏えい」に該当するため、正規の事業者が当該個人情報を個人情報データベース等へ入力すること等を予定していれば、正規の事業者による報告等の対象になるとされています(ガイドラインに関するQ&A 6-7)。
偽装ウェブサイトに本人が入力した情報(ID やパスワード等)を利用して、第三者が本人になりすまし、個人データが表示される正規のウェブサイトにログインした場合には、一般的には、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ…の漏えい等が発生し、又は発生したおそれがある事態」が生じたものとして、報告等の対象となるものとされています(ガイドラインに関するQ&A 6-8)。
不正の目的をもって行われたおそれがある個人情報取扱事業者に対する行為による漏えい等の場合について、ガイドライン(通則編)3-5-3-1(3)では、不正行為の相手方である「個人情報取扱事業者」には、当該個人情報取扱事業者が第三者に個人データの取扱いを委託している場合における当該第三者(委託先)や、当該個人情報取扱事業者が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれるものとされています。当該「第三者」の例としては、以下のようなものが挙げられています(ガイドラインに関するQ&A 6-16)。
①個人情報取扱事業者が、ダイレクトメールの発送業務を外部事業者に委託し、これに伴い、ダイレクトメールの送付先である顧客の氏名や住所等の個人データを当該外部事業者に伝えている場合における、当該外部事業者
②個人情報取扱事業者が入力フォーム作成ツールを利用して個人情報を取得・管理している場合における、当該ツールの提供事業者
③個人情報取扱事業者がストレージサービスを利用して個人データ又は個人情報を保管している場合における、当該サービスの提供事業者
④ SNS を運営する個人情報取扱事業者が、第三者のウェブサイトに当該SNS の「ボタン」等を設置し、当該ウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得している場合における、当該第三者
⑤ 決済代行サービスを提供する個人情報取扱事業者が、EC サイトの決済ページにタグを設置し、当該ページに入力されたクレジットカード情報等の個人情報を取得している場合における、当該EC サイトの運営事業者
⑥ 決済代行サービスを提供する個人情報取扱事業者が、自らの管理する決済ページに遷移するリンクをEC サイトに設置し、当該ページに入力されたクレジットカード情報等の個人情報を取得している場合における、当該EC サイトの運営事業者
⑦ 個人情報取扱事業者が、入力フォーム最適化サービスやスマートフォンサイト自動変換サービス等を利用し、自己のウェブサイト上の入力ページに入力された個人情報を取得している場合における、当該サービスの提供事業者
⑧ 個人情報取扱事業者が、短縮URL 作成サービスを利用し、当該サービスを利用して作成された短縮URL に係るリンクをクリックして自己のウェブサイト上の入力ページに遷移した個人から個人情報を取得している場合における、当該サービスの提供事業者
⑨ 個人情報取扱事業者が、アクセス解析ツールを利用し、自己のウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得・管理している場合における、当該ツールの提供事業者
⑩ 個人情報取扱事業者が、返信用封筒を顧客に配布し、配送事業者による当該返信用封筒の配送を通じて個人情報を取得している場合における、当該配送事業者
以上、2024年4月1日に施行された改正個人情報保護法施行規則のポイントについて、ガイドライン等を踏まえてまとめてみましたが、いかがでしょうか。個人情報の漏えいは発生してしまうと、企業のレピュテーションを大きく損ないかねない重要なインシデントとなりますので、漏えい等の事案が発生しないように、セキュリティ面を充実させることが重要になってくるのはもちろんのこと、どのような場合が個人情報保護委員会への報告義務や本人への通知義務の対象となるのかについてもきちんと理解していただき、万が一漏えい等が発生してしまった場合には、適切な対応を取ることが重要になります。今回の改正を受けて、個人情報を取り扱う業務委託等の契約書の修正や社内規則等を改定する必要が生じるケースもありますので、弊所でのサポートが必要な場合やご不明な点があればお気軽にご連絡ください!
[1] 「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当するものとされています(個人情報保護法第16条第1項参照)。
[2] 個人情報保護法上、安全管理措置の対象も「個人データ」とされていますが、今回の個人情報保護法施行規則の改正を受けて、「個人データ」に関する安全管理措置の一環として、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる旨がガイドライン上明記されました(ガイドライン(通則編)3-4-2)。