先週報道された話題となりますが、某大学において、個人情報の漏えいが発生したという事件がありました。
その大学の職員が使用しているメールアドレス宛に送信不能メール(メールを送信したものの、アドレスの入力ミス等により送信できなかったことを報告するメール)が大量に届いたため調査したところ、そのアドレスを悪用して迷惑メールが大量発信されていたことが判明し、過去にやりとりしていた個人情報が漏えいしたという扱いになったようです。
今回、そのような個人情報が悪用された(二次被害が生じた)ことは確認されておらず、実害はなかったという評価も可能ですが、以下にみるように、個人情報保護委員会が定めた個人情報保護法についてのガイドラインではそうであっても、定義上「漏えい」となってしまうこと(実害の発生は要件とされていないこと)には注意が必要です。
※公式ガイドライン 3-5-1-2 「漏えい」の考え方
個人データの「漏えい」とは、個人データが外部に流出することをいう。
【個人データの漏えいに該当する事例】
事例1)個人データが記載された書類を第三者に誤送付した場合
事例2)個人データを含むメールを第三者に誤送信した場合
事例3)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
事例4)個人データが記載又は記録された書類・媒体等が盗難された場合
・・・(後略)・・・
さて、個人情報の漏えいについては、原則として1,000人以上についての漏えいがあった場合、個人情報保護委員会への報告が必要となると以前ご説明したところですが、①要配慮個人情報が含まれる場合や、②不正アクセス・財産被害発生の可能性がある場合には、1,000人未満、極端に言えば1人分しか漏えいしていない場合でも、行政への報告や本人への通知が必要となります。
①要配慮個人情報というのは、不当な差別や偏見その他の不利益が生じないよう取扱いに特に配慮を要する情報を指しており、人種(民族・種族的出身を意味し、国籍は含みません。)、信条や病歴・犯罪歴(いわゆる前科のほか、犯罪の被害を受けたことも含まれます。)等が政令で定められています。
例えば保険実務の上では、病歴情報をやり取りする場合もあると思われますが、これも要配慮個人情報ですので、情報管理に当たっては、特に、漏洩防止に注意する必要があります。
個人情報保護への意識はますます高まりをみせており(他にも世界的な潮流も影響していますが)、これに伴って、定期的に法改正が行われています。
近時予定されている法改正では、「違法な個人情報の提供で儲けた場合に課徴金を課す」という制度導入が目玉となりそうです。
現在の議論状況をみると、うっかり漏えいしてしまった場合は対象外とする方向にはなりそうですが、個人情報の不適切な取り扱いに対して金銭的なペナルティが課される流れになってきているということは意識しておいた方が良さそうです。
今回個人情報に関わる話題をいくつか取り上げました。
個人情報は高い価値を持ったものである反面、丁寧に扱わないと法的責任だけでなく社会的な非難も受けるというリスクがあります。
個人情報の取扱いに不安を感じていらっしゃる方、個人情報の取り扱いをより盤石なものとするためにPマークやISMSの取得を検討されている方など、弊所は個人情報保護の視点から皆様をバックアップすることも可能ですので、もしご興味ございましたら、遠慮なくご連絡くださいませ。