個人情報の漏えい等が発生した場合は、事実関係を本人に速やかに通知する

　電気通信事業者ガイドラインの目玉のひとつが、今般の改訂にともない新設されたこの条項である（３４頁）。

　以前の記事で、以下のようなコメントを残しておいたが、今回公表された改訂案を読んでもよくわからない。

　ガイドラインに新たに定められる義務については、

（１）いつの時点で「個人情報が流出した」と判断すべきか
※流出の事実を確認するためにはそれなりに時間がかかると考えられる。
（今回追記）
　総務省への報告は「直ちに」とされているのと比べて、本人への通知は「速やかに」とされているあたりを参考にすべきといったところだろうか。

（２）通知すべき「利用者」とは誰か
※「流出した個人情報の情報本人としての利用者」であれば、通知すべき理由は比較的わかりやすいが、どの利用者の個人情報が流出したかを特定するためにはやはり相当の時間がかかると考えられる。
※一方「個人情報流出事故を発生させた電気通信事業者の利用者全員」という意味であるとすれば、その範囲はある程度明瞭だが、なぜ全員に通知しなければならないか（公表で足りるのではないか）

がどうなるか、気になるところである。

Comments

鶴巻　先生

夏井です。

お世話になっております。

さて、確かに、どの分量の誰に関する個人情報が無権限で他に複製されてしまったのかを早期に確定することが困難な場合はありますね。仮に、何人分のデータが無権限で複製されたのかが分かったとしても、単に複製されただけであり、遺法な目的で使用されてしまったわけではない場合もあると思います。強い暗号技術等で保護されているデータの場合、内部者が端末装置で操作している時点では人間にも認識できる状態で表示されても、データそれ自体としは他のマシンでは解読不可能な状態にされている場合もあるでしょう。
このような場合、企業イメージの低下をおそれて、情報の開示をためらう心理になりやすいということは非常によく分かります。

しかし、当該個人情報の本人の立場からすれば、もし現実に被害が発生していないとしても、データが無権限で複製されてしまったという事実を告知されていれば自分で防衛する手段を講ずることもできたはずだと思います。このことから２つの可能性を導出することができると思います。

１）無権限の複製がなされた時点で、複製されたデータに含まれる可能性のある本人全員に対して、概括的にせよ事実の告知をしなければ、それだけで不作為による遺法と判断される危険性がある。

２）１の不作為の結果、本人が自衛策を講ずる機会を失わせ、その結果として、現実に被害が発生・拡大した場合には、その存在が通常の相当因果関係の範囲を超える場合であっても、特別損害として因果関係があると判断される危険性がある。

このような可能性を考えると、何か事故が発生したら、概括的にせよ何にせよ、とにかく第一報を出して周知し、本人が自衛策を講ずることができるようにすべきだろうと考えられます。

そうなると、「利用者」を限定的に解釈する意味はほとんどないという解釈論上の結論となりそうです。

Posted by: 夏井高人 | 2004.07.08 at 08:33

　実際に漏えい事故が発覚する経過を動的に（ぼちぼちと）考えておりますが、

１）まず、初期の段階では「事故が発生した」かどうかがわからない場合もあり得るので、事実確認が先決ということになると思います。ただこれも程度問題であって、事故が発生した可能性が「相当程度に高まった段階」では、文字どおり「速やかに」第一報を出すべきだと思います。

２）このように、事実確認作業を踏まえ「速やかに第一報を出す」という発想で対応すべきだと思いますが、このような発想で対応する場合には「漏えい事故が発生したことは間違いないが『ある部分は漏えいしていない』ということがまだ確定できない」段階、すなわち可能性の問題としては「今のところ、全部の個人情報が漏えいしている可能性が否定できない」という段階である場合が少なくないと思います。

　継続的な事実確認作業により、漏えいした個人情報の範囲が特定されてくれば、その情報本人に「通知」するということも考えられますが、「速やかに第一報を出す」ということを重視すれば、実際には「まずは公表、しかる後に通知」というのが適切なのではないかと思います。

Posted by: 鶴巻　暁 | 2004.07.22 at 17:04