カテゴリー
個人情報保護

個人情報の漏えいって具体的にはどういうこと?

Last Updated on 2025年7月29日 by

「見つからないけどあるはず」「間違ってゴミに出したけどもう焼却されているはず」といったケースでも、個人情報保護法上の「漏えい等」の報告義務の対象となるのかどうか、具体的に解説します。

目次
  1. 個人情報保護法の「漏えい等」とは?
  2. 報告義務があるかどうか検討
    1. 事例1:「顧客情報が記載された書類が見つからないが、事務所内のどこかにあるはず」
    2. 事例2:「書類を間違ってゴミに出したが、焼却されたはずなので情報が漏れる心配はない」
    3. 最も重要な判断基準:個人の権利利益を害する「おそれ」
  3. まとめ

個人情報保護法の「漏えい等」とは?

結論から言うと、「書類が見つからない」だけの段階では直ちに報告義務は発生しませんが、「紛失のおそれがある事態」に該当する可能性はあり、その後の対応が重要です。また、「間違ってゴミに出した」場合でも、焼却が確実でない限りは「漏えい等のおそれがある事態」として対応・報告義務が生じる可能性があります。

個人情報保護法における「漏えい等」には、単なる「漏えい(外部に情報が出ること)」だけでなく、「滅失(データが失われること)」や「き損(データが壊れること)」、さらには「これらの事態が発生するおそれがある事態」も含まれる、という点がポイントです。

具体的に見ていきましょう。

個人情報保護委員会が定めるガイドラインでは、「漏えい等」とは以下を指します。

1.漏えい: 個人データが外部に流出すること(誤送信、盗難、不正アクセスなど)

2.滅失: 個人データが失われること(誤削除、データ破損、媒体の紛失など)

3.き損: 個人データが損なわれること(データの改ざん、意図しない上書きなど)

4.これらのおそれがある事態: 実際に漏えい等が確認されていなくても、その可能性が高い状況

特に4番目の「おそれがある事態」という部分が、設例の「見つからないけどあるはず」「間違ってゴミに出したけどもう焼却されているはず」というケースで重要になります。

報告義務があるかどうか検討

事例1:「顧客情報が記載された書類が見つからないが、事務所内のどこかにあるはず」

状況: 顧客リストが記載された書類を机の上に置いたはずだが、見当たらなくなってしまった。事務所内を徹底的に探せば出てくるはずだと考えている。

判断: この段階では、直ちに「漏えい」が確定したわけではありません。しかし、「紛失のおそれがある事態」に該当する可能性は十分にあります。

会社が取るべき対応:

速やかな探索: 最優先で事務所内を徹底的に探します。関係者全員で協力し、探し漏れがないようにします。

状況把握とリスク評価:

書類に記載されている個人情報の種類(氏名だけか、住所、電話番号、要配慮個人情報も含まれるかなど)。

書類の枚数と含まれる個人データの件数。

誰がアクセスできた可能性があるか(事務所の鍵の管理状況、来客の有無など)。

発見できた場合: 紛失ではないので、漏えい等の報告義務は発生しません。ただし、なぜ見つからなくなったのか、今後どうすれば防げるのか(保管ルールの徹底など)を検討します。

どうしても見つからない場合:

探索を尽くしても見つからない場合、その書類が「紛失」したと判断せざるを得ません。

その紛失した個人データが、前述の「報告義務が発生する基準」(要配慮個人情報、財産的被害の可能性、不正目的、1,000人超)のいずれかに該当する場合は、「滅失」または「漏えいのおそれがある事態」として、個人情報保護委員会への報告と本人への通知義務が発生します。

たとえ事務所内での紛失であっても、第三者(清掃業者、来客など)が偶然発見し、外部に持ち出したり悪用したりする可能性がゼロではないためです。

事例2:「書類を間違ってゴミに出したが、焼却されたはずなので情報が漏れる心配はない」

状況: 顧客情報が記載された書類を、誤って普通のゴミ箱に捨ててしまった。そのゴミはすでに回収され、ゴミ処理場で焼却されたはずなので、情報が外部に漏れる心配はないと考えている。

判断: 「焼却が確実に確認できる」かどうかが決定的に重要です。

焼却が確実に確認できない場合: これは「漏えいのおそれがある事態」に該当します。なぜなら、ゴミ回収から焼却までの間に、情報が第三者の手に渡る可能性を完全に否定できないためです。例えば、回収業者の従業員が拾得したり、ゴミを漁る人が発見したりするリスクがあります。

焼却が確実に確認できる場合: 会社の責任で直接焼却炉に投入した、あるいは廃棄を委託した専門業者が確実に溶解・破砕・焼却したことを証明できる場合であれば、「漏えい」や「おそれ」は発生していないと判断できます。

会社が取るべき対応:

回収・処理状況の確認: まず、ゴミの回収業者に連絡を取り、回収されたゴミの処理プロセス(焼却のタイミング、中間処理の有無など)をできる限り確認します。

リスク評価:

捨ててしまった書類の内容(要配慮個人情報が含まれるかなど)。

含まれる個人データの件数。

通常のゴミとして出したことで、第三者が容易にアクセスできた可能性の有無。

焼却の確証が得られない場合:

もし、回収から焼却までのプロセスで、第三者によるアクセスや情報持ち出しの可能性が完全に否定できない場合、前述の「報告義務が発生する基準」のいずれかに該当する場合は、「漏えいのおそれがある事態」として、個人情報保護委員会への報告と本人への通知義務が発生します。

特に、シュレッダー処理をせずにそのまま捨ててしまった場合は、リスクが非常に高いと判断されます。

最も重要な判断基準:個人の権利利益を害する「おそれ」

個人情報保護法が求めるのは、実際に漏えいしたかどうかだけでなく、「個人の権利利益を害するおそれがある」かどうかです。

書類が見つからない: 探索を尽くしても発見に至らない場合、第三者が発見する「おそれ」があるため、重要度によっては報告義務が発生します。

ゴミに出した: 確実に安全に廃棄されたことを証明できない場合、「おそれ」が残るため、やはり重要度によっては報告義務が発生します。

まとめ

「紛失」や「誤廃棄」の場合でも、それが「個人の権利利益を害するおそれが大きい」と判断される場合は、個人情報保護法上の「漏えい等報告義務」の対象となります。

紛失: 徹底的に探しても見つからない場合、外部流出のおそれが生じます。

誤廃棄: 回収から最終処理までの過程で、第三者が情報に触れる可能性が否定できない場合、漏えいのおそれが生じます。

小規模企業であっても、これらの事態が発生した場合は、まずは速やかに事実関係を調査し、個人情報保護委員会が定める報告基準に該当するかどうかを冷静に判断することが重要です。判断に迷う場合は、個人情報保護委員会に相談することをお勧めします。

そして、何よりも、日頃から書類の保管場所の明確化、離席時の施錠、廃棄時のシュレッダー利用の徹底など、物理的安全管理措置を確実に行うことが、このような「おそれがある事態」の発生を未然に防ぐ最善の策となります。

関連記事:個人情報漏えい、1件でも個人事業でも報告義務があるの?

会社事務入門会社における個人情報の取り扱い>このページ