florian-olivo-4hbJ-eymZ1o-unsplash
Picture of <span>森山裕紀子</span>
森山裕紀子

大学で個人情報が流出!緊急時の対応と法的義務【学校運営の法務Q&Aより】

Q.サイバー攻撃を受けて、学籍番号、氏名などの情報が2000件ほど流出してしまいました。大学としてどのような対応をしたら良いでしょうか?
A.個人情報は、1000件以上の漏えいなどは、本人及び個人情報保護委員会への通知が必要になります。まずは、おおむね3〜5日以内に、第一報を個人情報保護委員会に入れてください。

 

◎個人情報保護法での漏えい対応

個人情報保護法(以下「個法」または「法」という)は、民間の場合、下記情報に該当する場合(おそれに過ぎない場合を含みます)、個人情報保護委員会への漏えい等報告が義務付けられています。

  • 情報種類1:要配慮個人情報が含まれる個人データの漏えい等
    なお、「要配慮個人情報」とは、特に取扱いに配慮を有する個人情報(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他身体障害、知的障害、精神障害等の障害があること、健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと、本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと)です(法2 条3 項)。
  • 情報種類2:不正に利用されることにより財産的被害が生じるおそれがある個人データ 例えば、クレジットカードデータなどです。
  • 情報種類3:不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(個人データとして取り扱われることが予定されているものを含む)の漏えい等。
    具体的には、不正アクセスによって個人データが流出した場合や、従業者が顧客の個人データを不正に持ち出した場合などが考えられます。
  • 情報種類4:個人データに係る本人の数が1000人を超える漏えい等

◎上記情報の漏えい時の個人情報保護委員会への対応

対象の漏えいが起きた場合、即時対応は、その時点で把握している情報について、個人情報保護委員会(以下「委員会」という)へ報告が必要です(法26 条1 項)。委員会への報告は、漏えい後3 日から5日以内を目安に、速やかに行ってください。報告内容は、①概要、②漏えい等が発生し、または発生したおそれがある個人データの項目、③漏えい等が発生し、または発生したおそれがある個人データに係る本人の数、④ 原因、⑤二次被害、またはそのおそれの有無及びその内容、⑥本人への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項となります(個法規則8 条1 項)。
本件でも、委員会HP にある漏えい報告書に①~⑦を記載してください。なお、委員会への報告は、原則30 日以内に確定した報告(確報)も必要です。

◎漏えい時の本人への対応

また、情報主体である本人への通知も必要になります(個法26条2項)。通知の例としては、文書や電子メールなどが望ましいですが、本人への通知が困難な場合には代替措置としてWEB などでの公表、問い合わせ窓口の設置なども考えられます。本件では学生情報ですので、個別に通知できると思いますので、個別対応をしてください。

この記事の内容は、『学校運営の法務Q&A』(旬報社)をもとにお届けしました。教育現場のトラブル回避や法的対応をサポートする信頼の一冊。全国の書店やオンラインストアでお求めいただけます!
こちらからもお買い求めいただけます。

森山裕紀子

わかりやすい説明を心がけています。 様々な状況・条件の中で、ベストな決断は人それぞれ・会社ごとに違います。 私は弁護士として、現況を分析し、わかりやすい言葉や簡単な図でそれを説明し、共に解決策を考え、最終的にみなさまの最善の決断・経営判断をサポートしていきたいと思います。 どうぞお気軽にご相談ください。