MenuClose

Blog

ブログ

[連載] 令和8年改正個人情報保護法研究:《第9回》漏えい等発生時の本人通知義務等の見直し

2026.06.30

#個人情報 / #データ / #情報・通信・メディア・IT

TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。

令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html

《第9回》漏えい等発生時の本人通知義務等の見直し

今回は、改正の四つの柱のうち、「リスクに適切に対応した規律」に含まれる漏えい発生時の規律の見直しを解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点 」をご覧ください。

第1.改正の背景と意義

現行法においては、個人情報取扱事業者は、その取り扱う個人データの漏えい等が生じた場合であっても、施行規則7条各号に定める次の①から④の事態(以下「報告対象事態」といいます。)に該当する場合には、個人情報保護委員会等への報告義務及び本人への通知義務の双方の義務を負うものとされています(現行法26条)。

①    要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じです。)の漏えい、滅失若しくは毀損(以下「漏えい等」といいます。)が発生し、又は発生したおそれがある事態(施行規則7条1号)
②    不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(同条2号)
③    不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含みます。)の漏えい等が発生し、又は発生したおそれがある事態(同条3号)
④    個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(同条4号)

そして、報告対象事態の対象となる「個人データ」(③の場合は個人情報を含みます。)については、漏えい元において個人データとなる情報が対象とされており、漏えいされた情報から第三者が特定の個人を識別することができない場合であっても、漏えい元において「個人データ」である場合には、報告対象事態に該当するとされています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A6-10)。したがって、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合であっても、本人通知を行う必要があり、事業者の負担となる側面がありました。

改正法案では、本人通知義務を合理化する観点から、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合には、代替措置を実施することで本人通知義務を不要とする規律が導入されます。

また、漏えい等に関連して、改正法案そのものには盛り込まれなかったものの、個人情報保護委員会事務局が公表した「個人情報保護法等の一部を改正する法律案について(令和8年4月)」(以下「2026年4月付け事務局資料」といいます。)13頁において、今後の規則改正等において、以下の事由についても改正がなされることが検討されています。

  • 共通様式(ランサムウェア等)により報告が行われる場合の報告窓口の一元化
  • 一定の体制整備を前提として、一定の範囲での速報免除及び確報の取りまとめ報告
  • 違法な個人データの第三者提供の報告対象事態への追加

第2.法律案の概要・検討

1. 漏えい発生時の本人通知義務の緩和

(1) 概要

改正法案では、報告対象事態が生じた場合であっても、「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合」(以下「軽微影響事案」といいます。)に該当する場合には、「本人の権利利益を保護するため必要なこれに代わるべき措置」(以下「代替措置」といいます。)を実施するときは、本人への個別通知が不要となる改正がなされます(改正法案26条2項ただし書)。

軽微影響事案の具体的な内容としては、「サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合」が想定されています(2026年4月付け事務局資料13頁)。

(2) 検討

改正法案における改正内容を踏まえて報告対象事態が生じた場合の個人情報保護委員会等への報告、本人通知及び代替措置の要否について整理すると、下記の通りとなります。

個人情報保護委員会等への報告 本人への個別通知 代替措置(公表等)の実施
軽微影響事案 必要 不要 必要
軽微影響事案以外の場合 必要 必要 原則不要。
個別通知が困難な場合は必要。

事業者において、報告対象事態が生じた場合は、軽微影響事案であっても、実施が不要となるのは、本人への個別通知であり、公表等の代替措置の実施自体は求められることには注意が必要です。

また、どのような場合に、「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」に該当するかについて、例えば、IDであっても、事業者間で共通して利用することができるIDや利用者が自ら作成する登録ID等様々なものが考えられ、どのようなものが、「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」に該当するのかが明らかではないところがあります。改正法案が衆議院を通過した際の附帯決議の内容として、「個人情報取扱事業者等の恣意的な判断、濫用及び拡大解釈によって本人の権利利益が侵害されることのないよう、個人情報保護委員会規則によって具体的な対象範囲や判断基準を明記すること」が求められていますので、どのような場合に軽微影響事案に該当するかについて、今後のガイドライン等による明確化が期待されます。

2. その他の漏えい等に関する改正事項

(1) 概要

2026年4月付け事務局資料において、以下の事由についても改正がなされることとなっています。

  • 共通様式(ランサムウェア等)により報告が行われる場合の報告窓口の一元化
  • 一定の体制整備を前提として、一定の範囲での速報免除及び確報の取りまとめ報告
  • 違法な個人データの第三者提供の報告対象事態への追加

これらの改正自体は、改正法案自体には盛り込まれませんでした。しかし、個人情報保護法上、個人情報保護委員会等への報告事由については、「個人情報保護委員会規則で定めるもの」とされており、報告方法についても、「個人情報保護委員会規則で定めるところにより」とされています。したがって、報告事由や報告方法は個人情報保護委員会規則の改正により、改正することが可能ですので、上記の事由については、個人情報保護委員会規則の改正により、改正がなされるものと予想されます。

(2) 検討

ア 共通様式(ランサムウェア等)により報告が行われる場合の報告窓口の一元化
現在は、ランサムウェア等が発生した場合には、「ランサムウェア事案に関する共通様式」という共通様式を利用して、漏えい等が生じた場合の報告を行うことができます(令和7年個人情報保護委員会告示第12号個人情報保護委員会の漏えい等報告フォーム)。

このことにより、事業者が複数の法令・ガイドライン等に基づき、複数の当局への報告義務を負っている場合に、共通様式を用いて、それぞれの当局への報告を行えば足り、当局ごとの報告様式にしたがった報告を行う必要がなくなりました。

しかし、報告様式は統一されたものの、依然として、当局ごとに報告書を提出する必要があり、事業者にとって負担となっていた側面があります。そこで、サイバー攻撃対処能力強化法に基づく報告義務施行にあわせ、NCO(国家サイバー統括室)の下で報告窓口を一元化することが検討されています。これにより、事業者は、統一的な窓口への報告を行えば足り、複数の当局に個別に報告する必要がなくなり、事業者の負担が軽減されることが予想されます。

イ 一定の体制整備を前提として、一定の範囲での速報免除及び確報の取りまとめ報告
現在は、報告対象事態が発生した場合、個人情報保護委員会規則により、原則として、報告対象事態が発生する度に、速報及び確報を行うこととされています。漏えいした個人データに係る本人の数が1名である誤交付・誤送付のようなケースであっても、原則として都度これらの報告を行う必要があり、事業者にとって負担となっていた側面があります。そこで、2026年4月付け事務局資料において、個人情報保護委員会規則の改正により、体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除することを可能とすることや、対象者が1名である誤交付等のケースについては確報を一定期間ごとに取りまとめた上で行うことを許容することが検討されています。これにより、事業者の報告に係る一定の負担が軽減されることが予想されます。

ウ 違法な個人データの第三者提供の報告対象事態への追加
現在は、個人データの漏えい、滅失及び毀損にあたる場合が、報告対象事態として個人情報保護委員会規則で定められているにとどまり、本人同意を得ていない等の違法な個人データの第三者提供については、報告対象事態として定められていません。しかし、2026年4月付け事務局資料において、違法な個人データの第三者提供を新たに報告対象事態へ追加することが検討されています。これにより、違法な第三者提供の実態を個人情報保護委員会等が適時・的確に把握し、被害の拡大防止や事業者への迅速な指導等の措置をより実効的に講じることが可能になることが予想されます。

第3. 実務への影響と残された課題

1. 漏えい発生時の規律の見直し

改正法案において、報告対象事態が発生した際の本人通知の要件が変更になるため、インシデントが発生した際の対応フローに、軽微影響事案に該当するかを評価・判断するプロセスを組み込むことが考えられます。

また、安全管理措置の一環として、保有する個人データの氏名等の識別情報を削除して保管する等の措置につき、今回想定される改正内容も踏まえ、再検討することが考えられます。

2. その他の漏えい等に関する改正事項

その他の漏えい等に関する改正事項についても、インシデントが発生した際の対応フローに影響がありますので、対応フローの見直しを行うことが考えられます。今後の個人情報保護委員会規則の改正動向に注目し、対応することが望まれます。

特に、違法な個人データの第三者提供については、報告対象事態となるだけでなく、改正法案において、課徴金納付命令の対象行為となっております(改正法案148条の3)。そのため、このような違法な個人データの第三者提供の早期の発見・防止を実施できるようにする社内体制の整備を行う必要性が高いと考えられます。また、現在の個人データの取扱状況を棚卸し、違法な個人データの第三者提供を行っていないかのアセスメントを実施することも考えられます。

Member

PROFILE

白石和泰

白石和泰

PROFILE

寺門峻佑

寺門峻佑

PROFILE

野呂悠登

野呂悠登

PROFILE

柿山佑人

柿山佑人

PROFILE

林 知宏

林 知宏

PROFILE

芥川詩門

芥川詩門

#個人情報 / #データ / #情報・通信・メディア・IT

Other Categories

MORE
MORE
MORE
MORE
MORE
MORE
MORE

TAGS

VIEW MORE
× メールマガジンの
配信登録は
こちら