過去、企業でセキュリティインシデントが発生した際、法務部門の最も一般的な防御策は次のように主張することでした。「旧法第12条に基づき、通知が必要なのは『本法の規定に違反したことにより』個人情報が侵害された場合に限られる。我々は現在、違法性があったか内部調査中であり、あるいはハッキング攻撃と我々の違法性との因果関係を確認中である」。このように「法的責任の究明」を理由として、「過失の有無」を通知手続き開始の盾とする戦術は、2025年の新法改正後、完全に無効となります。
新版「個人情報保護法」第12条は重要な変更を行いました。それは、「本法の規定に違反した」という前提条件の削除です。これは、通知義務の発生が企業の「過失の有無」や「違法性の有無」に依存するのではなく、個人情報事故が「発生したか否か」という客観的事実に依存することを意味します。この改正により、受動的な通知から強制的な二重の義務へと転換され、国際標準である「72時間以内の通報メカニズム」が導入されました。本稿では、この時間との戦いとなるコンプライアンスの課題について解説します。
1. 客観的事実への回帰:「違法性の有無」はもはや通報の前提ではない
まず、企業は事故通報に対する認識を再構築する必要があります。新法第12条第1項は、保有する個人情報に「窃取、改竄、毀損、滅失、または漏洩」が発生した場合、即座に通報すべき個人情報事故を構成すると規定しています。
この改正の重点は「責任と事実の切り離し」にあります:
- 客観的発生で義務発動:過去、企業はしばしば「我々はハッカー攻撃の被害者であり、当社自体に個人情報保護法違反はない」という理由で通報を拒否していました。しかし将来、新法施行後は、事故が発生しさえすれば、たとえ企業が自ら万全を期しており安全維持弁法に違反していないと認識していても、第一報として通報手続きを開始しなければなりません。
- ランサムウェアも隠蔽不可:一般的なランサムウェア(Ransomware)攻撃により、データが暗号化されロック(滅失)されたり、変更(改竄)されたりした場合、過去には「漏洩」ではない、かつ企業の違法行為によるものではないとして通報しないケースがありました。しかし新法の枠組みの下では、このようなデータの可用性と完全性を侵害する事案も、通報が必須となる客観的な事故に属します。
したがって、企業の法務およびCISO(最高情報セキュリティ責任者)は、内部の個人情報事故対応フローを見直し、「法的帰責性」の判断を通報の意思決定プロセスから排除し、「客観的事実」を唯一の起動基準とする必要があります。
2. 二重の義務:当事者への「通知」と所管官庁への「通報」
新法では、事故後の責任を明確に2つの並行する義務に区分しており、両者の目的と対象は全く異なります:
- 当事者への通知: 新法第12条第1項に基づき、事故を知った後、適切な方法で当事者(顧客、従業員など)に通知しなければなりません。その目的は、当事者に警戒を促し(例:速やかなパスワード変更、クレジットカードの利用停止など)、自主的に権利を守れるようにすることです。
- 所管官庁への通報: 新法第12条第2項および「個人情報事故通知通報および応変弁法」草案第3条に基づき、特定の基準に該当する場合、所管官庁(個資会)に通報しなければなりません。これは、監督機関が事態を把握し、状況に応じて調査介入や支援を行えるようにするためです。
3. 黄金の72時間:分秒を争うプレッシャー
企業にとって最もプレッシャーとなるのは、時間の制限でしょう。「個人情報事故通知通報および応変弁法」草案第2条および第3条の規定によれば、当事者への通知であれ所管官庁への通報であれ、その期限はいずれも「知った時から72時間以内」とされています。
この72時間は単なる営業時間ではなく、休日も含みます。このわずか3日以内に、企業は予備調査を完了し、影響範囲を確認し、応急措置を発動し、発生原因・損害状況・応変措置など8大項目を含む通報フォームに記入しなければなりません。
もし企業がどうしても間に合わない場合はどうすればよいでしょうか?草案では「正当な事由」がある場合(天災、技術的に直ちに解明できない場合など)に限り、先に所管官庁に理由を説明し、事由が消滅した後の72時間以内に追完通知または通報を行うことを認めています。しかし、企業は依然として第一報を迅速に行う必要があり、理由なく遅延することはできません。
4. 連絡がつかない場合は?「公開公告」の例外条項
大規模な個人情報事故が発生し、数十万人の会員に個別に通知することが困難な場合や、連絡先情報自体が失われている場合があります。草案第2条では例外的な柔軟性を認めており、「連絡方法が識別できない」、「通知に巨額の費用を要し運営に影響する」などの事情がある場合、企業はインターネット(公式サイトでの公告など)やニュースメディアなどの公開方式を通じて通知を行うことができ、かつ少なくとも30日間継続して公開する必要があります。
この方式は行政作業の負担を軽減しますが、公開公告は往々にしてより大きなメディアの注目と広報(PR)上の危機を招くため、企業は通知方式を選択する際、法的コンプライアンスとレピュテーションリスクを慎重に比較検討する必要があります。
5. 提言:今すぐ演習を
72時間は瞬く間に過ぎ去ります。当事務所は、事故が起きてから法律の条文をめくることのないよう、企業に強く推奨します。今すぐに「個人情報事故緊急対応標準作業手順書(SOP)」を策定し、通報テンプレートを作成すべきです。セキュリティ監視システムが警報を発したその瞬間に、法務、セキュリティ、広報部門が即座に同期して動けるようになって初めて、黄金時間内にコンプライアンス要件を満たし、損害を最小限に抑えることができます。
当事務所は企業の個人情報法務およびコンプライアンス導入において豊富な経験を有しています。貴社が緊急対応SOPの策定、通報テンプレートの作成、またはシミュレーション演習についてご要望をお持ちの場合は、いつでも当事務所へお問い合わせください。専門の弁護士チームが貴社に合わせた解決策をご提供いたします。
※特記事項:本文で言及している関連子法の草案(安全維持弁法、事故通報弁法など)は、いずれも個人情報保護委員会準備室が2026年1月、2月の間に公告した予告版です。本稿執筆時点において、パブリックコメントの募集段階にあり、正式な施行条文は各界の意見によりさらに調整される可能性があります。読者の皆様におかれましては、最新の法規動向にご留意ください。
