カテゴリー
個人情報保護

個人情報漏えい、1件でも個人事業でも報告義務があるの?

Last Updated on 2025年7月29日 by

「個人情報が漏えいしたら、国に報告しないといけないらしいけど、うちは小規模だから関係ないかな?」「たった1件の漏えいでも報告するの?」

そう思われる方もいらっしゃるかもしれません。しかし、結論から言うと、小規模な企業であっても、原則として「1件」の個人情報の漏えいでも、内容によっては国(個人情報保護委員会)への報告義務が発生します。

報告義務が発生する「漏えい等」とは?

かつての個人情報保護法では、取り扱う個人情報が5,000件以下の小規模事業者は「個人情報取扱事業者」の義務対象外とされていましたが、2017年5月30日に施行された改正個人情報保護法によってこの「5,000件要件」は撤廃されました。

そのため、現在では個人情報を取り扱うすべての事業者が、その規模や件数に関わらず、個人情報保護法の義務の対象となります。

個人情報保護法では、個人データの漏えい、滅失、き損(以下「漏えい等」といいます)が発生し、「個人の権利利益を害するおそれが大きいもの」として個人情報保護委員会規則で定める事態に該当する場合に、個人情報保護委員会への報告と本人への通知が義務付けられています(個人情報保護法第26条)。

具体的には、以下のいずれかに該当する事態が発生した場合、件数にかかわらず(1件からでも)報告と本人通知の義務が発生します。

要配慮個人情報が含まれる漏えい等が発生し、又は発生したおそれがある事態

要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実など、不当な差別や偏見が生じうる個人情報のことです。

例:従業員の健康診断結果、患者の病歴、顧客の障害情報などが漏えいした場合。

財産的被害が生じるおおそれがある漏えい等が発生し、又は発生したおそれがある事態

不正に利用されることで、個人の財産に損害が生じる可能性がある情報が含まれる場合です。

例:クレジットカード番号、インターネットバンキングのID・パスワード、銀行口座番号などが漏えいした場合。ただし、高度に暗号化されているなど、秘匿化されている場合は報告が不要なケースもあります。

不正の目的をもって行われたおそれがある漏えい等が発生し、又は発生したおそれがある事態

不正アクセス、ランサムウェアによる暗号化、従業員による不正な持ち出し、内部からの故意の持ち出しなどが該当します。

例:外部からの不正アクセスにより顧客データが流出した、従業員が顧客リストを故意に持ち出して競合に渡した、などの場合。

1,000人を超える漏えい等が発生し、又は発生したおそれがある事態

上記1~3に該当しない場合でも、漏えい等の対象となった本人の数が1,000人を超える場合は、報告義務が生じます。

例:メールアドレスの誤送信で1,000人以上の宛先に個人情報が送られてしまった、システム設定ミスで1,000人以上の会員情報が公開状態になってしまった、などの場合。

これらの基準のいずれかに該当すれば、小規模企業であっても1件の漏えいであっても、報告義務が生じることを理解しておく必要があります。

具体的な報告の仕方(2段階の報告)

個人情報保護委員会への報告は、原則として2段階で行う必要があります。

1. 速報(事態を知ってから概ね3~5日以内)

漏えい等の事態が発生した、または発生するおそれがあることを知った場合、まず速やかに(概ね3~5日以内が目安とされています)第一報を個人情報保護委員会に行います。

報告内容(その時点で把握している範囲で)

・事態の概要(いつ、何が、どこで、どのように発生したか)
・漏えい等が発生した個人データの項目(氏名、住所、電話番号、クレジットカード情報など)
・漏えい等した可能性のある本人の数(おおよそでよい)
・発生原因(推測でよい)
・二次被害の防止措置や、本人への通知状況

2. 確報(事態を知ってから原則30日以内)

速報後、事態の詳細な調査を行い、原因の究明、被害状況の特定、再発防止策の検討などを進め、原則として事態を知ってから30日以内(不正の目的で行われた漏えい等の場合は60日以内)に、より詳細な「確報」を行います。

報告内容(原則としてすべての事項を報告)

・事態の概要(詳細)
・発生原因
・二次被害の防止措置及びその実施状況
・本人への通知の有無及びその内容
・再発防止策
・その他参考となる情報

報告方法

個人情報保護委員会への報告は、原則として個人情報保護委員会のウェブサイト上にある「漏えい等報告フォーム」から行います。マイナンバーが含まれる漏えいの場合は専用のフォームがありますので注意してください。

個人情報保護委員会ウェブサイト: https://www.ppc.go.jp/

漏えい等報告に関する情報: ウェブサイト内の「法律・ガイドライン等」や「事業者向け情報」のコーナーに詳細な情報や報告フォームへのリンクがあります。

報告義務と同時に「本人への通知」も必要

個人情報保護委員会への報告義務が生じる事態では、原則として当該個人データに係る本人に対しても、速やかに事態を通知する義務も発生します(個人情報保護法第26条第2項)。

通知内容: 事態の概要、発生原因、二次被害の防止措置、その他参考となる情報など、個人情報保護委員会への報告事項と同様の内容を本人に伝えます。

通知方法: メール、書面、電話など、本人に確実に伝わる方法で通知します。不特定多数の場合は、ウェブサイトでの公表なども検討されます。

万が一に備えて今すぐできること

小規模企業であっても、漏えい等報告義務は避けられません。万が一の事態に備え、以下の準備をしておきましょう。

社内規程の整備

漏えい事故が発生した際の報告体制(誰に、いつ、どう報告するか)、緊急連絡先、対応手順などを明確に定めておくことが重要です。報告体制は「個人情報保護規程」に具体的に記載しておきましょう。

従業員への教育

「漏えい等が発生したらすぐに報告する」「些細なことでも管理者に相談する」といった意識を従業員全員に徹底する教育が不可欠です。

個人情報の特定とリスク評価

会社がどのような個人情報を、どこに、どれくらいの量で保管しているのかを把握し、特に要配慮個人情報や財産的被害につながる情報(クレジットカード情報など)を明確にして、これらの情報の取り扱いには特に注意を払うようにしましょう。

漏えい等の事故は、いつ、どんな規模の企業でも起こり得るものです。日頃からの対策と、万が一の際の迅速かつ適切な対応が、会社の信用を守る上で最も重要となります。


関連記事:個人情報の漏えいって具体的にはどういうこと?

会社事務入門会社における個人情報の取り扱い>このページ