日經 Slack 資料外洩:即使有「報導適用除外」媒體仍難以免責
11 月 14, 2025
2025年11月4日,日本經濟新聞社表示,其在業務中使用的「Slack」遭到未經授權的存取,疑似導致 1 萬 7368 名員工及往來企業等相關資訊外洩。
在這次的說明中,有一點特別值得注意:
「出於報導・著述目的所取得的個人資訊,原則上不適用發生外洩時的通報義務等《個人情報保護法》的規定,但日經考量到事件的重要性與資訊透明,仍自願向個人資訊保護委員會報告。」
這也讓不少人產生疑問:「那麼,報導機關對於資安事件,難道就沒有善良管理者的注意義務嗎?」
日經 Slack 外洩事件概要與「適用除外」的重點
先簡要整理本次事件的概要。日本經濟新聞社說明,由於發生對 Slack 的未經授權登入,系統中所登錄的姓名、電子郵件地址、聊天紀錄等資訊,可能遭到外洩,並已對外發布新聞稿(日文)。所幸,目前尚未確認有關採訪對象或採訪內容的資訊遭到外洩。
這裡提到的「報導・著述目的的個人資訊不適用部分義務」,是基於日本《個人情報保護法》第五十七條的設計。然而,重點在於:「適用除外」並不等於「完全不負任何責任」。
日本《個人情報保護法》中的「報導適用除外」(第五十七條)是什麼?
日本《個人情報保護法》第五十七條規定,當報導機構或著述者以「供報導之用」或「供著述之用」為目的處理個人資訊時,原則上不適用同法第四章所規定的各項義務。
會被視為適用除外的「供報導之用」範圍
這項規定,是為了尊重憲法所保障的「表意自由(包括新聞自由)」而設。如果對所有基於報導目的蒐集的資訊,一律課以嚴格的利用目的限制或個別告知義務,將可能大幅萎縮媒體在監督公權力等方面的報導活動。
日本個人情報保護委員會的指引(通則篇)中,也明確說明了這樣的立法意旨。
當報導機關基於報導目的處理個人資訊,或小說家等基於著述目的處理個人資訊時,為了兼顧憲法保障的基本人權,法律第四章關於個人資訊控管者義務的規定,原則上不適用於此等情形。
(節錄、意譯自:個人情報保護委員会 ガイドライン(通則編))
即使有適用除外,仍不被免除的「安全管理措施」努力義務
Q:那麼,報導機關是不是就完全沒有任何義務?
A:當然不是。
同一份指引接著也寫道:
上述各主體,仍應自行採取安全管理措施、申訴處理等,為確保個人資訊的適正處理,實施必要的制度與作法,並應努力對外公開這些措施的內容。
(節錄、意譯自:個人情報保護委員会 ガイドライン(通則編))
也就是說,雖然日本《個人情報保護法》中的「外洩通報義務」得以適用除外,但為了維持媒體作為報導機關的信任與正當性,在「安全管理措施」方面,仍然負有自律的努力義務,同時也受一般民法上善良管理者注意義務的拘束。日經在本次事件中,儘管形式上屬於適用除外,仍選擇詳細對外說明並向個人情報保護委員會任意報告,正是符合這項努力義務精神的作法。
如果報導機構外洩了敏感資訊會怎樣?
例如,訂戶的信用卡資訊、活動參加者的敏感資料(健康資訊、身心狀況等),都屬於高度機密的個人資訊。這類資訊若遭外洩,在有過失的情況下,當然可能構成損害賠償責任。
<專家觀點>
即使是報導機構,在使用工具日益多元的今天,也應建立與一般企業相同,甚至更高標準的資安與內控體系,才能對得起所掌握的大量個人資訊。
最重要的一點是:只要是基於「報導目的以外」所持有的個人資料發生外洩,報導機構與一般企業在法律上並沒有任何差別待遇。
舉例來說,訂戶的信用卡資訊、線上/線下活動參加者的敏感資料等,通常都是為了「服務提供、收費結算或活動營運」而蒐集,並非「報導之用」。這些資料一旦外洩,原則上就會適用法律第二十六條的規定,產生向個人情報保護委員會報告以及通知當事人的義務;同時,如有管理上的過失,也可能面臨民事損害賠償。
<專家觀點>
在本次 Slack 外洩事件的脈絡下,如果其中包含的個人資訊或個人相關資訊,其利用目的有一部分並非「報導之用」(例如:信用卡資訊、會員計費資料等),單憑「報導機關」身分並不足以免除其責任。工具與服務愈多元,報導機構愈應該假設自己在資安與個資保護上,至少必須達到一般企業同等,甚至更高的水準。
小結:報導機構同樣需要與一般企業同等的資安意識
日本《個人情報保護法》的「報導適用除外」是為了保障報導自由而設計的限定性規定。即便如此,報導機構依然是「處理個人資料的事業者」,必須自行建立安全管理措施、處理申訴,並在一定程度上對外說明其制度運作情形。此外,民法上的注意義務並不因適用除外而自然消失。
特別是,對於「非報導目的」所取得的個人資料(例如:訂戶資訊、信用卡資料、活動參加者資訊等),報導機構與一般企業在法規上的義務完全相同。一旦發生外洩,不僅有通報與通知義務,也可能面臨實質賠償責任。
換言之,無論是廣播機構、報社、通訊社等報導機關,還是以著述為業者、宗教團體、政治團體,在面對資安事件時,實務上都應假設自己至少具有與一般企業同等的善管注意義務與資安管理責任,這樣才是較為安全與穩健的做法。
參考:相關條文
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。(後略)
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。(後略)
(適用除外)
第五十七条 個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。 一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的 二 著述を業として行う者 著述の用に供する目的 三 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的 四 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
3 第一項各号に掲げる個人情報取扱事業者等は、個人データ、仮名加工情報又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。