個人情報保護委員会への報告義務:宅建事業者が知るべき全対応手順
漏えいが「確定」していなくても、報告義務は発生します。
個人情報保護委員会への報告義務が生まれた背景と宅建業の位置づけ
2022年4月1日、改正個人情報保護法が全面施行され、個人データの漏えい等が発生した場合の報告が、努力義務から法的義務へと格上げされました。それまでは「なるべく報告しましょう」という位置づけでしたが、現行法では報告しなかった事業者に対して罰則が科される仕組みへと変わっています。
宅建事業者にとって他人事ではありません。不動産取引では、氏名・住所・電話番号だけでなく、収入情報、家族構成、勤務先など膨大な個人データを日常的に取り扱います。賃貸審査で得た健康情報や身元保証に関わる書類など、センシティブなデータも少なくありません。
つまり、宅建事業者は個人情報保護法における「個人情報取扱事業者」として全員が対象となります。これが基本です。
かつては「保有個人情報が5,000件以下の小規模事業者は対象外」とされていましたが、2017年の法改正でこの5,000件要件は撤廃されました。1件でも個人データを扱う事業者であれば、規模の大小を問わず法の対象です。1人でやっている小さな仲介業者も例外ではありません。
また、宅建業者の報告先は「個人情報保護委員会」に直接ではなく、個人情報保護委員会から権限委任を受けた免許行政庁へ報告する仕組みになっています。国土交通大臣免許の業者は地方整備局、都道府県知事免許の業者は当該都道府県に報告します。これは意外と知られていない重要な点です。
全日本不動産協会:個人情報を漏えいさせた場合の取扱い(弁護士解説)
個人情報保護委員会への報告が必要な4つの事態と不動産実務への影響
報告義務が発生するのは、すべての漏えいではありません。「個人の権利利益を害するおそれが大きい」事態に絞られています。具体的には以下の4類型です。
| 類型 | 内容 | 対象人数 |
|---|---|---|
| ① 要配慮個人情報の漏えい等 | 病歴・障害・犯罪歴などが含まれる場合 | 1人以上 |
| ② 財産的被害のおそれ | クレジットカード番号・口座情報等の漏えい | 1人以上 |
| ③ 不正の目的による漏えい | 不正アクセス・従業員による持ち出し等 | 1人以上 |
| ④ 大規模漏えい | 本人数が1,000人を超える漏えい等 | 1,000人超 |
不動産実務に引き寄せて考えると、①の「要配慮個人情報」が特に関係してきます。賃貸審査で把握した申込者の障害の有無・健康状態、売買取引の過程で知った相続・離婚の背景事情など、こうした情報が漏えいした場合は、たった1人分であっても報告義務が生じます。
③の「不正の目的による漏えい」も見落とせません。転職した元従業員が顧客リストを持ち出した場合、これは典型的な不正持ち出しです。実際に不動産業界では、都内マンションの登記情報を含む約2万5,000人分の個人情報が元社員によって転職先へ持ち出された事例が報告されており、こうした事案は③に該当します。
④の1,000人超の大規模漏えいは、「うちは小規模だから関係ない」と思いがちな類型です。しかし、①〜③に該当する場合は人数が1人でも報告義務が生じる点を忘れないでください。件数の少なさで安心するのは危険です。
また、高度な暗号化措置を施したデータや、仮名加工情報である個人データについては報告不要とされています。これが条件です。
速報・確報の期限と宅建業者が見落としやすい「おそれ」の報告タイミング
報告は「速報」と「確報」の2段階で行います。それぞれの期限が法令で明確に定められており、これを守れなかった場合は義務違反となりえます。
- ⏱️ 速報:事案発覚日から3〜5日以内に、把握している範囲で報告する
- 📄 確報:事案発覚日から原則30日以内(不正の目的による事案は60日以内)に、全ての報告事項を記載して提出する
ここで特に注意すべきポイントがあります。報告義務は漏えいが「確定した」ときではなく、漏えいが「発生したおそれがある」と判断した時点で発生します。
つまり、「まだ調査中だから確認できてから報告しよう」と考えていると、速報の期限(3〜5日)をあっという間に過ぎてしまいます。調査が完了していなくても、その時点で把握している内容を速報として提出するのが正しい対応です。
意外ですね。「確証がなければ報告しなくていい」という感覚は、法令上は通用しません。
確報に含める必要がある報告事項は全部で9項目あります(個人情報保護法施行規則第8条)。
- 📝 事案の概要
- 📝 漏えい等が発生したおそれがある個人データの項目
- 📝 漏えい等に係る本人の数
- 📝 原因
- 📝 二次被害またはそのおそれの有無と内容
- 📝 本人への対応の実施状況
- 📝 公表の実施状況
- 📝 再発防止のための措置
- 📝 その他参考事項
速報の段階では全項目が揃っていなくても構いません。確報で全項目を埋めることが求められます。この2段階の仕組みを正しく理解しておくことが、実務対応の第一歩です。
関東地方整備局:個人データの漏えい等事案が発生した場合の対応(報告先・期限・手順)
報告義務違反の罰則と、宅建業者が実際に直面する法的・信用リスク
報告義務を怠ると、まず個人情報保護委員会(宅建業者の場合は免許行政庁)から勧告・命令が出る可能性があります。この命令に従わなかった場合が刑事罰の対象となります。
罰則を整理すると次のとおりです。
| 違反行為 | 個人への罰則 | 法人への罰則 |
|---|---|---|
| 委員会の命令違反(措置命令) | 1年以下の懲役または100万円以下の罰金 | 1億円以下の罰金 |
| 報告義務違反(報告しない・虚偽報告) | 50万円以下の罰金 | |
| 個人情報データベース等の不正流用 | 1年以下の懲役または50万円以下の罰金 | 1億円以下の罰金 |
2020年改正前は、法人への罰金は最高「1億円以下」ではなく「30万円以下」でした。改正後は一気に引き上げられており、罰則の水準が大きく変わっています。厳しいところですね。
ただし、金銭的ペナルティ以上に怖いのは社会的信用の失墜です。個人情報保護委員会や免許行政庁は、違反事実を公表する権限を持っています。不動産業は顧客との信頼関係が命綱ですから、「個人情報漏えいを隠蔽していた」という事実が公になれば、事業継続に関わるダメージを受けかねません。
また、宅建業法第45条の守秘義務との関係も押さえておく必要があります。宅建業者は業務上知り得た秘密を漏らしてはならないという守秘義務を負っており、廃業後・退職後も同様です(宅建業法75条の2)。個人情報保護法の義務と宅建業法の義務は別々の法律ですが、両方が重なって問題になるケースが実務上は少なくありません。
宅建事業者が今すぐ整備すべき社内対応フローと独自の視点:委託先管理の盲点
漏えい対応には「事後対応」だけでなく「事前整備」が重要です。いざ事態が起きてから対応を考えると、3〜5日という速報期限はあっという間に過ぎてしまいます。
まず確認すべき3点を整理します。
- 🔍 報告フロー図の作成:「誰が気づいたとき、誰に報告し、誰が免許行政庁に速報するか」を1枚の図にしておく
- 🔍 報告書様式の事前入手:関東地方整備局や各都道府県のホームページから様式をあらかじめダウンロードしておく
- 🔍 委託先の管理体制の確認:顧客管理システムやCRMを外部に委託している場合、委託先が漏えいしても報告義務は委託元にも発生する
3点目は、実務上の大きな盲点です。クラウドのCRMサービスや物件管理システムを外部ベンダーに委託している宅建業者は少なくありません。委託先で不正アクセスが起きた場合、委託元である宅建業者も報告義務を負います。委託先任せにはできないということです。
委託先の漏えいリスク対策として、まずは利用しているシステムベンダーとの契約書や利用規約の中に「漏えい発生時の通知義務」が明記されているかを確認する、という行動を1つとってみてください。
また、不動産業者向けの個人情報保護法対応ガイドラインは、国土交通省が「不動産業における個人情報保護法のあり方に関する研究会」の報告として公開しています。内容が細かく実務的で、宅建事業者が自社の安全管理措置を点検する際の参考資料として活用できます。
さらに、個人情報保護委員会のホームページでは、漏えい等事案の報告フォームをオンラインで受け付けています。免許行政庁ではなく直接委員会に任意報告したい場合や、フォームの記載例を確認したい場合に役立ちます。
個人情報保護委員会:漏えい等報告・本人への通知の義務化について(公式ページ)
転職してきたスタッフが前職の顧客情報を持ち込んでいるケースも、「流入」として報告義務や法的リスクが発生しうる事態です。転職者を採用した際には、前職の個人情報を持ち込ませないルールを明示・徹底することが、自社を守ることにつながります。これも見落とされがちな視点です。