2022年4月に施行された改正保護法により、個人情報が漏えいしたら原則として個人情報保護委員会（以下、委員会）へ報告する義務が果たされました。報告義務を履行しないと公表や罰則の対象となります。

報告義務は「速報」と「確報」の二段階に分けておこなうとされていますが、なぜ二段階にわたる報告が求められているのでしょうか。１回の報告ではだめなのでしょうか。

理由は｛本人の権利利益の保護のために必要｝だからです。

仮に「確報」のみを義務付けた場合、委員会が漏えい等の事象を把握するまでに1カ月程度の時間が空くため、事業者の対応不備が続き、二次被害の発生・拡大が生じかねません。これを補うため、発生から3－5日以内に報告する「速報」により、委員会が早期に事態を把握し適切な措置を指導することで、二次被害の発生・拡大を防止し、本人の権利利益の保護を企図たものです。

「速報」のみの義務では、「速報」の時点では明らかでなかった漏えい等の発生原因や、再発防止のために行った措置を委員会が把握できず、本人の権利利益保護の観点から適切な指導・監督を行うことができません。

ガイドラインでは2段階方式の例外を認めており、「速報の時点で全ての事項を報告できる」場合は、報告義務は負うものの軽微であって、漏えい等の原因も明確であり、ゆえに再発防止策も立てやすい事案に限られると読み取れます。

ただ義務だから、と対処せず理由まで理解すると社内への説得力が増しますよ。