令和4年4月1日で個人情報保護法が改正になります。改正内容は、いわゆる「Cookie規制」や個人情報の不当・不適切な利用の禁止がありますが、漏洩等が発生した際の個人情報保護委員会及び対象者への通知が義務となります。

報告・通知の対象となる事例の範囲、報告・通知の項目は、改正法により定められています。

〇対象となる事例
改正法では、報告・通知の対象として、実際に漏洩した場合のほか、漏えい、滅失、毀損した場合、またはそのおそれのある事態が発生した場合とあります。個人情報を失くしてしまった場合でも対象となります。

また、報告・通知の対象となる個人情報の内容や数量も改正法で以下のように定められています。
1 要配慮個人情報を含む個人データ
2 不正に利用されることにより財産被害が発生する個人データ（カード番号など）
3 不正の目的をもって行われた個人データの漏洩等
4 1000人を超える個人データの情報等
ただし、「高度な暗号化その他、個人の権利利益を保護するための必要な措置」が講じられている場合は、対象にはなりません。

〇要配慮個人情報とは
1にある要配慮個人情報とは、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことです。
具体的には、病歴、犯罪の経歴、健康診断やストレスチェックの結果表などがあげられます。
健康診断の結果表を漏洩や滅失してしまった場合は、1人でも個人情報保護委員会への報告や本人への通知が必要となります。

〇個人情報保護委員会とは
個人情報保護委員会は国の行政機関、内閣府の外局です。個人情報保護法のガイドラインを策定したり、個人情報の保護に関する基本方針を策定したりします。

〇報告・通知の内容は
個人情報保護委員会への報告の内容は以下の通りです。
ア　概要（発生日、発覚日、発生事案、発見者、１から4のどれか、事実経過など）
イ　漏洩等が発生（またはそのおそれ）した個人データの項目
ウ　漏洩等が発生（またはそのおそれ）した個人データの該当者の人数
エ　原因
オ　二次被害またはそのおそれの有無、その内容
カ　本人への対応の実施状況
キ　公表の実施状況
ク　再発防止のための措置（実施済と今後実施予定のものに分ける）
ケ　その他参考となる事項

このうち、ア、イ、エ、オ、ケは本人にも通知義務がある内容です。報告は、3日から5日以内の「速報」と原則30日以内の「確報」の2回行う事となっています。

万が一、漏洩等が起こってしまった場合は報告や通知をしなくてはなりませんが、そのような事態にならないよう、対策を立て、実行することが大切です。

平倉社労士　東京都文京区の社会保険労務士　就業規則、雇用安定助成金 (hirakura.net)