質問
サイトが攻撃され、顧客のメアドが流出した可能性があります。改正個人情報保護法では、どのレベルの漏洩なら本人通知や個人情報保護委員会への報告が義務になるのでしょうか?
【質問者の本音を深堀】
バレたら終わる、隠したい。
ヨリビズ弁護士の回答
- 「個人の権利利益を害するおそれが大きい場合」は報告・通知が義務です。
- クレカ情報、要配慮個人情報、不正アクセスによる漏洩(おそれ含む)は、1件でも発生すれば報告必須です。
【解説】
2022年の改正でルールが厳格化されました。
①要配慮個人情報(病歴等)、②財産的被害のおそれ(クレカ番号)、③不正目的(ハッキング・ランサムウェア)、④1,000人超の漏洩、のいずれかに該当する場合、速やかに委員会への報告と、本人への通知が法的義務となります。
「可能性」の段階でも速報を入れる必要があります。隠蔽して後で発覚すると、最大1億円の罰金刑もあり得るため、正直に報告するのが企業防衛の鉄則です。
