個人情報保護法施行規則が令和5年12月27日に改正され、令和6年4月1日付で施行されました。この改正に伴い、ガイドライン通則編やQ&Aも改訂されています。 今回の改正では、①不正目的をもって行われたおそれがある漏えい等発生時における個人情報保護委員会への報告と本人への通知、②安全管理措置、③保有個人データに関する事項の公表等の3点について、対象が拡大されました。 これらは実務上の影響が大きいにもかかわらず、施行後も自社が受ける影響の内容を正確に認識できていない事業者が少なくないと思われます。本稿では本改正に合わせて新たに追加・更新されたQ&Aも交えて解説します。 凡例 本稿における主な略称は以下のとおりです。

Emotetは、感染した端末に記録されているメール情報等を収集し、アドレス帳に記録されていた取引先に対してマルウェア付きのメールを送信して感染拡大を図る挙動を有しています。 メール情報等を窃取される結果、改正個人情報保護法のもとでは個人情報保護委員会への報告義務が生じます。また、感染についてセキュリティ体制の不備など過失が認められる場合には、取引先から調査費用といった損害について賠償請求を受ける可能性があります。 Emotetとは Emotetとは、感染したPC端末にトロイの木馬やランサムウェアなどの他のマルウェアをダウンロードさせたり、感染した端末から窃取した情報をもとに、さらに他の端末へEmotetの感染を広げる挙動（Emotetをダウンロードさせるファイルが添付されたメール（攻撃メール）を送信する等）を持つマルウェアです。 Emotetによるサイバー攻撃は、2019年ごろから日本国内