個人情報漏えいの事件や事故が起きた場合、事業者は関係機関への報告が義務付けられていますが、その義務が少し緩和されようとしています。

先週、内閣総理大臣の所轄する行政委員会である個人情報保護委員会は「個人データの漏えい等の事案が発生した場合等の対応について（案）」に関する意見募集を開始しました。この中で個人情報の漏えい事故の起きた場合の報告義務に関して新たな指針を示しています。

それは、「実質的に個人データ又は加工方法等報が外部に漏えいしていないと判断される場合」には報告しなくてよいということです。

報告の必要のない例のひとつとして、
・漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
というのが記載されています。

簡単に言えば、「暗号化されて解読が困難であれば個人情報の漏えいは報告しなくてよい」とするつもりのようです。
その他にも、実質的に第三者の閲覧がないと見なせる場合もいくつか例として挙げられており、今までのすべてを報告しなければならない状態から緩和されるようです。

しかし、事故の報告が必要がないとされる「高度な暗号化」とは、いったいどのようなものなのでしょうか？

それはまだ、具体的には示されておらず、今後どのようなガイドラインが示されるのかに注目です。厳密に言えば暗号化されていても、情報の漏えいには違いはないと思うのですが、この暗号化による報告義務の緩和により、暗号化の採用が進むのであれば、それはセキュリティの向上に寄与するものになるかもしれません。