はじめに

近年、米国では、Target やHome Depot な どの小売業者が保存する顧客のデータが広 範囲にわたって漏えいする事件が相次ぎ、 米国で手厚いデータ保護法の制定を求める 機運が高まっている。米国には、EU一般 データ保護規則(GDPR)のような統一デー タ保護法の存在する法域とは異なり、包 括的な連邦データ保護法が存在せず、かわ りに、州法と連邦法のパッチワークが現在 の米国データ保護法を形成している。その ような中でも、各州におけるデータ漏えい 通知法の導入割合は特に高いものとなり、 2020年現在、全50州、コロンビア特別区、 グアム、プエルトリコ及びバージン諸島で データ漏えい通知法案が可決されている。

他方、日本では、「個人情報の保護に関 する法律等の一部を改正する法律」が2020 年6月12日に公布され(以下「 改正法」と いう。)、公布後2年以内に施行されること となった。改正法により、従来努力義務で あった個人情報の漏えい等の個人情報保 護委員会への報告及び本人への通知が 義務化され、日本においてもデータ漏えい 通知が原則として必要であることになっ た。本稿では、データ漏えい時の通知義務に 関する日米の制度を比較しつつ概説する。

「漏えい」の定義

米国: 米国法上、一般的に、「漏えい」(Breach) とは、コンピュータ化されたデータが権限を 有しない者により取得され、それにより個人 又は事業体が保持する個人識別可能情報の安 全性、機密性又は完全性が脅かされることと 定義づけられる。漏えいは、ハッキングによ る事業体のコンピュータ・システムへの無断 アクセスなどのデジタルな手段、又は個人識 別可能情報を含んだ会社の所有物の窃盗など のフィジカルな手段によって生じ得る。

日本: 改正法のもとで報告・通知義務の対象 となるのは、個人データの「 漏えい、滅失、毀 損その他の個人データの安全の確保に係る 事態であって個人の権利利益を害するおそ れが大きいものとして個人情報保護委員会 規則で定めるもの」である。具体的な類型に ついては個人情報保護委員会規則を待つこ とになるが、衆議院内閣委員会及び参議院内 閣委員会における政府参考人答弁によれば、 ①要配慮個人情報の漏えい、②不正アクセス による漏えい及び③財産的被害に至るおそ れのあるデータの漏えいについては、件数に 関わりなく報告の対象とされる予定である。

漏えいが生じた場合、どのような アクションが必要となるか

米国: 各州のデータ漏えい通知法にした がい、当該州の住民に漏えいを通知する必 要がある。したがって、すべての州の住民に 影響を及ぼすようなデータ漏えいが生じた 場合は、各州法に固有の要件を充足する、 50以上の異なるバージョンの通知が必要と なる可能性がある。また、いくつかの州で は、州の司法長官や他の州当局に対する報 告が義務付けられている。

日本: 改正法によれば、個人情報取扱事業 者は、個人情報保護委員会規則で定めると ころにより、漏えい等の事態が生じた旨を 原則として個人情報保護委員会に報告し、 本人に通知しなければならない。ただし、 個人情報保護委員会への報告を要する場合 であっても、本人への通知が困難な場合で あって、本人の権利利益を保護するため必 要なこれに代わるべき措置をとるときは、 本人への通知は要しないとされる。制度改 正大綱によれば、本人の権利利益を保護す るために必要な措置としては、公表を行い 問い合わせに応じること等が想定される。 日本の改正法は、米国の多くの州に比して、 本人への通知よりも当局への報告を重要視 していると評価し得る。

報告・通知を行うタイミング

米国: 通知のタイミングに関する規定は州 ごとの振れ幅が大きい。通知は、漏えいが 生じたことを発見してから、又は漏えいが あったことの通知を受けてから「可能な限 り速やかに、かつ不当な遅滞なく」しなけ ればならないというのが最も一般的な規定 であるが、いくつかの州では漏えいが発見 されてから特定の期間内に通知することを 厳格に義務付けている。ただし、多くの州 では、捜査機関による捜査及びデータシス テムの完全性の修復に時間を要することに よる通知の遅れを許容している。

日本: 報告・通知のタイミングについての 具体的な規定は個人情報保護委員会規則を 待つことになる。制度改正大綱によれば、 個人情報保護委員会への報告については、 具体的な時間制限を設けず、報告内容を一 定程度限定した上で「速やかに」報告する こと(「速報」)が義務付けられることとな る一方で、運用上、上記の「速報」とは別に、 一定の期限までに「確報」として報告を求 めることとする、とされている。

通知に記載すべき内容

米国: 通知に記載すべき内容も州ごとに異 なる。例えばイリノイ州では、通知には、最 低限の情報として、3つの大手消費者報告 機関(Equifax、Experian及びTransUnion) 及び連邦取引委員会の連絡先情報並びに 個人がこれらの機関から詐欺警報(Fraud Alerts)とクレジットレポートの凍結に関す る情報を得ることができることに関する説 明を含めることを義務付けている。 日本: 改正法は、漏えい等の事態が「生じ た旨」を報告及び通知しなければならない ことを定めるのみである。上記の個人情報 保護委員会への「確報」の内容を含め、報告・ 通知に含まれるべき具体的な内容について は個人情報保護委員会規則、ガイドライン 等及び実務の蓄積を待つことになる。

通知に関する規定を遵守しなかった 場合の罰則等

米国: 各州は、各州のデータ漏えい通知法そ れ自体か、他の関連する消費者保護法のい ずれかを通じてエンフォースメントを行う。 いくつかの州では、適用されるデータ漏えい 通知法への違反が不当又は詐欺的な取引行 為とみなされ、州司法長官その他の政府機 関による法執行の対象となったり、事業体 に対する民事上の制裁の基礎となる。また、 カリフォルニア州を含むいくつかの州では、 漏えいの被害者が事業体を直接訴えること ができる私的訴権(Private Right of Action) を認めてる。

日本: 個人情報保護委員会の命令に違反し た場合について、罰金を含む刑事罰が定め られている。個人情報保護委員会は、個人 情報取扱事業者等に対して必要な指導・助 言や報告徴収・立入検査を行い、法令違反 があった場合には勧告・命令等を行うこと ができ、上述の漏えい等の報告・通知義務 の違反もここでいう法令違反に含まれる。 なお、改正法では、データベース等不正提 供罪及び個人情報保護委員会による命令へ の違反について法人重科が導入され、個人 情報保護委員会の命令に違反した場合には 法人に対して1億円の罰金刑が科され得る こととなった。個人に対する罰則も強化 され、個人情報保護委員会の命令への違反 については、6月以下の懲役または30万円 以下の罰金から1年以下の懲役又は100万 円以下の罰金に引き上げられた。

終わりに

米国においても日本においても、データ 漏えいがいつでも、どのような企業にも起 こりうる今日のデジタル環境のもとでは、 すべての企業がデータ漏えいへの対処につ いての計画を事前に立案した上で、実際に データ漏えいが起きた場合にこれを識別し 報告することができるように従業員に トレーニングを提供する必要があろう。この ような計画の立案にあたっては、事業を展開 する法域における法制度を確認することが 肝要である。

Originally published by JCCC Monthly Newsletter, December 2020.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.