個人情報保護法の報道適用除外とは?日経Slack流出で見る実態
2025.11.05UP!
- blog
- 不正アクセス
- 個人情報保護法
- 個人情報漏洩
- 報道機関
- 安全管理措置
- 適用除外
2025年11月4日、日本経済新聞社は、業務で使用する「Slack」が不正アクセスを受け、社員や取引先などの情報1万7368人分が流出した疑いがあると発表しました。
この発表で気になるのが、「報道・著述目的の個人情報は漏洩時の報告義務などの個人情報保護法の適用を受けないが、日経は事案の重要性や透明性の確保を考慮し、個人情報保護委員会に任意で報告した」という点です。「報道機関はサイバーインシデントに対して何らの善管注意義務がないのか?」と疑問に思った方も多いでしょう。
日経Slack流出事件の概要と「適用除外」の論点
まず、今回の事件の概要です。日本経済新聞社は、Slackへの不正ログインにより、登録されていた氏名やメールアドレス、チャット履歴などが流出した可能性があると発表しました。幸い、取材先や取材内容に関する情報の漏洩は確認されていないとのことです。
これは【個人情報保護法】第五十七条に基づくものですが、「適用除外=一切の責任を負わない」という意味ではない点が重要なポイントです。
【個人情報保護法】における「報道の適用除外」(第五十七条)とは
【個人情報保護法】第五十七条では、報道機関や著述家などが「報道の用に供する目的」または「著述の用に供する目的」で個人情報を取り扱う場合、第四章に定められた規定は適用しない、と定められています。
適用除外となる「報道の用に供する目的」の範囲
これは、憲法が保障する「表現の自由(報道の自由)」に配慮した規定です。もし報道目的で収集した情報すべてに厳格な利用目的の制限や本人への通知義務を課すと、権力監視などの報道活動が著しく萎縮してしまうおそれがあるためです。
個人情報保護委員会のガイドラインでも、この趣旨が説明されています。
報道機関(※1)が報道の用に供する目的で個人情報等を取り扱う場合、小説家等が著述(※2)の用に供する目的で個人情報等を取り扱う場合…(中略)…は、憲法が保障する基本的人権への配慮から、法第4章に定める個人情報取扱事業者等の義務等に係る規定は適用されない(※5)。
(出典:個人情報保護委員会 ガイドライン(通則編))
適用除外でも免除されない「安全管理措置」の努力義務
Q. では、報道機関は一切の義務を負わないのですか?
A. いいえ、そうではありません。同じガイドラインには、続けて以下の通り記載されています。
ただし、上記に定める各主体は、安全管理措置、苦情処理等、個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(出典:個人情報保護委員会 ガイドライン(通則編))
つまり、個人情報保護法の「報告義務」は免除されるものの、報道機関としての信頼を維持するためにも、「安全管理措置」については自ら高いレベルで講じる「努力義務」及び民法上の善管注意義務が課されています。日経が今回、適用除外であるにもかかわらず詳細を公表したのは、この努力義務の趣旨に沿った対応と言えます。
もし報道機関が機微情報を漏洩したら?
例えば、購読者のクレジットカード情報、その他の機微情報などがこれにあたります。これらが漏洩した場合は、過失があれば損害賠償責任も負います。
<専門家の視点>
報道機関であっても、利用ツールが多様化する現代においては、一般企業と同等かそれ以上のセキュリティ体制を構築し、万が一の事態に備える必要があります。
最も重要な点は、「報道の用」以外の目的で保有する個人データが漏洩した場合、報道機関も一般企業と全く同じ義務を負うという点です。
例えば、購読者のクレジットカード情報、イベント参加者の機微情報などがこれにあたります。これらが漏洩した場合は、当然ながら法第二十六条に基づき、個人情報保護委員会への報告と本人への通知義務が発生しますし、過失があれば損害賠償責任も負います。
<専門家の視点>
今回のSlack流出で、その個人情報等及び個人関連情報を取り扱う目的の一部が当該報道目的に該当しないケースは例えばクレジットカードの流出などは責任を免れることはないでしょう。報道機関であっても、利用ツールが多様化する現代においては、一般企業と同等かそれ以上のセキュリティ体制を構築し、万が一の事態に備える必要があります。
まとめ:報道機関も一般企業と同等のセキュリティ意識が必要
【個人情報保護法】の「報道の適用除外」は、報道の自由を守るための限定的な規定です。報道機関であっても、個人情報を取り扱う事業者として、自ら安全管理措置を講じる努力義務があります。また、民法上の注意義務が否定されるものではありません。
特に「報道目的以外」の個人データ(顧客情報、特にクレジットカード情報など)については、一般企業と全く同じ法的義務を負います。今回の事例を機に、自社の情報管理体制を再点検することが重要です。
放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)、著述を業として行う者、宗教団体、政治団体であっても、サイバーインシデントに対処する義務は一般の企業と同等と思っていたほうが無難です。
参考:関連条文
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。(後略)
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。(後略)
(適用除外)
第五十七条 個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
二 著述を業として行う者 著述の用に供する目的
三 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
四 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
3 第一項各号に掲げる個人情報取扱事業者等は、個人データ、仮名加工情報又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。