暗号化によるデータ侵害通知義務免除_調査レポート

## 暗号化によるデータ侵害通知義務免除_調査レポート ## 更新履歴 | 日付 | 内容 | | ---------- | ---- | | 2026-02-14 | 初版作成 | | 2026-03-08 | 利害関係の開示と、本記事の作成プロセスを追記 | ## 暗号化によるデータ侵害通知義務の免除：主要法域の比較調査レポート ### 調査概要本レポートは、「暗号化されたデータの漏洩は多くの法域でデータ侵害通知義務の免除要件となる」という主張の実態を把握するため、主要法域における暗号化と侵害通知義務免除の関係を概要レベルで調査・整理したものである。対象とした法域および法令は以下の通りである。 | 法域 | 法令・制度 | 暗号化による免除の性質 | |---|---|---| | 米国（州法） | 各州データ侵害通知法 | 明示的セーフハーバー（多数の州） | | 米国（連邦・医療） | HIPAA/HITECH Act | 明示的セーフハーバー | | EU | GDPR 第34条 | データ主体への通知の免除条件 | | オーストラリア | Privacy Act 1988 / NDBスキーム | リスク評価の考慮要素 | | カナダ | PIPEDA | リスク評価の考慮要素 | | 日本 | 個人情報保護法（令和2年改正） | 明示的免除（報告・本人通知の双方） | > **【筆者注記】利害関係の開示** > 筆者は本稿で取り上げた組織・企業・団体・プロジェクト等との業務上の関係、出資関係、競合関係はない。 > 本稿はいかなる外部主体からの委託・資金援助も受けておらず、独立した調査・分析に基づく。 > **本記事の作成プロセス** > 本記事は、運営者とAIの協働により作成しています。作成プロセスおよび品質管理の詳細は、[[サイトポリシー#1.2 AI の利用について]]をご参照ください。 --- ### 1. 米国：州データ侵害通知法における暗号化セーフハーバー #### 1.1 全体像米国では全50州、コロンビア特別区、グアム、プエルトリコ、および米領バージン諸島がデータ侵害通知法を制定している[^1]。これらの法の多くは、暗号化されたデータに対する「セーフハーバー」条項を含んでおり、暗号化が適切に施されていた場合に通知義務を免除または軽減する。全米司法長官協会（NAAG）は、暗号化セーフハーバーを各州法の主要な論点の一つとして挙げている[^2]。 #### 1.2 免除の構造：3つのアプローチ州法における暗号化免除の構造は、大きく以下の3類型に分類できる[^3][^4]。 **類型A：侵害の定義から暗号化データを除外する方式。** 多数の州が採用するアプローチである。侵害通知の対象となる「個人情報」を「暗号化されていない電子データ（unencrypted computerized data）」と定義する。この定義の下では、暗号化されたデータへの不正アクセスは、そもそも法律上の「侵害（breach）」に該当しない。 **類型B：暗号化データと鍵の両方へのアクセスを要件とする方式。** ニューヨーク州など一部の州は、暗号化されたデータへの不正アクセスだけでは侵害とせず、暗号化データと当該データの復号に必要な暗号鍵の双方が不正アクセスされた場合にのみ侵害が成立するとしている[^4]。 **類型C：暗号化の技術的基準を明示する方式。** 一部の州は、セーフハーバーの適用条件として暗号化の技術的要件を規定している。マサチューセッツ州およびロードアイランド州は「128ビット以上の暗号化」を要件とし、カリフォルニア州、コロラド州、メイン州は「一般に認められた暗号化手法（generally accepted encryption methodology）」を要件としている[^4]。 #### 1.3 セーフハーバーの実務的意義暗号化セーフハーバーの実務的効果は大きい。セキュリティインシデントを法律上の「侵害（breach）」ではなく「インシデント（incident）」として処理できることにより、影響を受けた個人への通知義務、州当局への報告義務、および関連するコスト（通知費用、信用監視サービスの提供、レピュテーション損害等）から免除される[^3]。ただし、セーフハーバーを主張するためには、暗号化が当該州法の要件を満たしていたことを立証する責任が組織側にある[^3]。 --- ### 2. 米国：HIPAA/HITECH法における暗号化セーフハーバー #### 2.1 制度の構造 2009年に成立したHITECH法（Health Information Technology for Economic and Clinical Health Act）は、HIPAA対象事業者に対してデータ侵害通知義務を導入した。同法の下では、侵害通知義務の対象は「unsecured PHI（保護されていない医療情報）」に限定される[^5]。 HHS（保健福祉省）が発行したガイダンスは、PHIを「使用不能、読取不能、または権限のない者にとって解読不能（unusable, unreadable, or indecipherable）」にする技術として暗号化と破壊の2つを指定している[^6]。暗号化がこの基準を満たしている場合、当該PHIは「secured PHI」となり、侵害通知義務から完全に免除される。これは明示的なセーフハーバーとして機能する[^5][^6]。 #### 2.2 暗号化の技術的要件 HHSガイダンスが指定する暗号化の技術的基準は、NIST（国立標準技術研究所）の標準に基づいている[^6]。保存データ（data at rest）については、NIST SP 800-111（Guide to Storage Encryption Technologies for End User Devices）に準拠した暗号化プロセスの使用が求められる。転送データ（data in motion）については、NIST SP 800-52（TLS）、SP 800-77（IPsec VPN）、SP 800-113（SSL VPN）等に準拠するか、またはFIPS 140-2認証を受けた暗号化プロセスの使用が求められる[^6]。 #### 2.3 鍵管理の重要性セーフハーバーの適用には、暗号鍵が同時に漏洩していないことが条件となる。暗号化されたデータと復号鍵の双方が不正アクセスされた場合、セーフハーバーは適用されない[^7]。したがって、暗号鍵は暗号化されたデータとは別のデバイス・場所で管理する必要がある[^8]。この要件は、暗号化の実装だけでなく鍵管理の適切性がセーフハーバーの可否を左右することを意味する。 --- ### 3. EU：GDPR第34条における暗号化による免除 #### 3.1 制度の構造 GDPRにおけるデータ侵害通知は二層構造になっている。第33条は監督当局への通知義務（72時間以内）を規定し、第34条はデータ主体（個人）への通知義務を規定する[^9][^10]。暗号化による免除が明示的に規定されているのは**第34条（データ主体への通知）のみ**である。第33条1項は「個人の権利自由にリスクをもたらす可能性がない場合」の例外を設けているが、EDPBガイドラインは暗号化されたデータの侵害においても監督当局への通知を原則として求めており、実務上は第33条の通知義務は免除されないと考えるべきである[^11]。この点は、米国の州法やHIPAAのセーフハーバーと構造的に異なる。 #### 3.2 免除の要件 GDPR第34条3項(a)は、以下の場合にデータ主体への通知義務を免除する[^9]。 > the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption > > （管理者が適切な技術的・組織的保護措置を実施しており、かつ当該措置が侵害の影響を受けた個人データに適用されていた場合。特に、暗号化のように、権限のない者にとって個人データを判読不能にする措置。）条文は「暗号化のような（such as encryption）」と例示しており、暗号化に限定していない。EDPB（欧州データ保護会議）のガイドラインは、仮名化（pseudonymisation）やトークン化も同様に有効な措置となりうるとしている[^11]。 #### 3.3 適用の条件と限界 GDPRの暗号化免除には以下の条件がある[^11]。第一に、暗号化は侵害の**発生前**に実装されていなければならない。侵害後に暗号化を適用しても免除は適用されない。第二に、暗号化は「現在のセキュリティ専門家によって十分と認められる」水準でなければならず、将来的に陳腐化する可能性のある暗号化は不十分とされうる[^11]。第三に、米国HIPAAと同様に、暗号鍵が同時に漏洩していないことが前提となる。また、監督当局は管理者の判断を覆し、通知を命じる権限を有する（第34条4項）[^9]。管理者が暗号化を理由に通知を省略した場合でも、監督当局がリスク評価の結果として通知が必要と判断すれば、通知を要求される可能性がある。 #### 3.4 実例：ノートPC盗難のケース EDPBガイドラインおよびGDPR解説サイトは、暗号化されたノートPCの盗難を免除適用の典型的なケースとして挙げている。端末にフルディスク暗号化、強力なパスワード、リモートワイプ機能が適用されている場合、侵害は発生しているものの、個人への通知は不要となりうるとされている。ただし、管理者はその判断を文書化し、必要に応じて監督当局へ通知しなければならない[^12]。 --- ### 4. オーストラリア：NDBスキームにおける暗号化の位置づけ #### 4.1 制度の構造オーストラリアのNotifiable Data Breaches（NDB）スキームは、2018年2月22日に施行されたPrivacy Act 1988の改正により導入された[^13]。NDBスキームの下では、通知義務が発生するのは「eligible data breach（適格データ侵害）」が発生した場合であり、適格データ侵害の要件は、個人情報への不正アクセス、不正開示、または紛失が発生し、それが影響を受ける個人に「serious harm（重大な被害）」をもたらす可能性がある場合と定義されている[^13]。 #### 4.2 暗号化の位置づけ：明示的セーフハーバーではなくリスク評価要素 NDBスキームには、米国の州法やHIPAAのような明示的な暗号化セーフハーバーは存在しない。しかし、暗号化は「重大な被害の可能性」を評価するリスク評価において重要な考慮要素となる[^14]。 OAIC（オーストラリア情報コミッショナー事務局）が公表している事例ガイダンスは、この構造を示す具体例を挙げている。ある保険会社のシステムがハッキングされ、クレジットカード情報を含む個人情報にアクセスされた事例において、ITセキュリティコンサルタントが「高い水準の暗号化が使用されていたため、クレジットカード情報がハッカーによりアクセスされた可能性は低い」と評価した結果、当該企業は適格データ侵害には該当しないと判断し、通知義務は発生しなかった[^14]。逆に、メモリスティックに暗号化されていない個人情報が含まれていた事例では、適格データ侵害に該当すると判断されている[^14]。 --- ### 5. カナダ：PIPEDAにおける暗号化の位置づけ #### 5.1 制度の構造カナダのPIPEDA（Personal Information Protection and Electronic Documents Act）は、2018年11月1日に侵害通知義務を施行した[^15]。通知義務が発生するのは、「real risk of significant harm（重大な被害の実質的リスク）」が存在すると合理的に判断される場合である[^15]。 #### 5.2 暗号化の位置づけ PIPEDAには明示的な暗号化セーフハーバーは存在しない。カナダ・プライバシー・コミッショナー事務局（OPC）のガイダンスでは、「重大な被害の実質的リスク」の評価において、情報がパスワード保護されていたか、または暗号化されていたか、あるいは回復済みかといった点が考慮要素として挙げられている[^16]。ただし、暗号化の存在だけで自動的に通知義務が免除されるわけではなく、各事案の全体的な状況に基づいて判断される。 --- ### 6. 日本：個人情報保護法における「高度な暗号化」免除 #### 6.1 制度の構造 2022年4月1日に全面施行された令和2年改正個人情報保護法（法第26条）は、個人データの漏えい等が発生した場合の個人情報保護委員会への報告義務および本人への通知義務を新たに導入した[^17]。報告・通知が義務付けられる事態（報告対象事態）は以下の4類型である[^17]。 1. 要配慮個人情報が含まれる個人データの漏えい等（1件から対象） 2. 不正利用により財産的被害が生じるおそれがある個人データの漏えい等（1件から対象） 3. 不正の目的をもって行われたおそれがある漏えい等（1件から対象） 4. 1,000人を超える個人データの漏えい等報告は、速報（発覚日からおおむね3〜5日以内）および確報（発覚日から30日以内、上記③の場合は60日以内）の二段階で行う[^17]。 #### 6.2 暗号化による免除の規定上記4類型のいずれに該当する場合であっても、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、個人情報保護委員会への報告義務および本人への通知義務の双方が免除される（施行規則第7条各号。第1号括弧書きで除外を定め、「以下この条…において同じ」として全号に適用）[^17][^18]。なお、仮名加工情報である個人データについても同様に免除される[^17]。この点は、GDPRがデータ主体への通知のみ明示的に免除し監督当局への通知は原則免除しない構造と対照的であり、日本の制度は米国HIPAA/HITECHに近い明示的セーフハーバーの性格を持つ。 #### 6.3 「高度な暗号化等の秘匿化」の要件個人情報保護委員会のQ&A（Q6-19）は、「高度な暗号化等の秘匿化がされている場合」の要件を以下のように定めている[^19][^20]。 **技術的措置の要件：** 当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等が発生した個人データについて、第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられていること。具体的には、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストまたはISO/IEC 18033等に掲載されている暗号技術が用いられ、かつ適切に実装されていることが求められる[^19]。 **復号手段の管理要件：** 暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段（復号鍵等）が適切に管理されていること。具体的には、以下の**いずれか**の要件を満たす必要がある[^19][^20]。 1. 暗号化した情報と復号鍵を分離するとともに、復号鍵自体の漏えいを防止する適切な措置を講じていること 2. 遠隔操作により暗号化された情報もしくは復号鍵を削除する機能を備えていること 3. 第三者が復号鍵を行使できないように設計されていること #### 6.4 他法域との比較における特徴日本の「高度な暗号化」免除制度には、以下の特徴がある。第一に、免除の範囲が広い。報告義務（個人情報保護委員会への報告）と本人通知義務の**双方**が免除される。これはGDPR（データ主体への通知のみ免除）よりも広く、米国HIPAA/HITECHの構造に類似する。第二に、暗号化の技術的基準が比較的具体的に示されている。電子政府推奨暗号リスト（CRYPTREC暗号リスト）やISO/IEC 18033への参照により、「何が高度な暗号化に該当するか」の判断基準が明確化されている。米国の多くの州法が暗号化の技術的要件を明示していないこと、あるいはGDPRが「暗号化のような（such as encryption）」と例示にとどめていることと比較すると、より具体的な指針が提供されている。第三に、復号鍵の管理要件が3つの選択肢として提示されている。特に要件②（遠隔削除機能）は、出張時のノートPC紛失等のシナリオにおいて実務的な意味を持つ。端末紛失時にリモートワイプにより暗号化データまたは復号鍵を削除できる機能があれば、免除要件を満たしうる。第四に、「漏えい等事案が生じた時点の技術水準」が判断基準とされている点は、GDPRのEDPBガイドラインが「現在のセキュリティ専門家によって十分と認められる」水準を求めている点と共通し、暗号化技術の陳腐化リスクへの対応を制度に組み込んでいる。 #### 6.5 マイナンバー（特定個人情報）に関する規定マイナンバーを含む特定個人情報についても、同様の「高度な暗号化等の秘匿化」による免除規定が設けられている（番号法第29条の4に基づく規則第2条）[^21]。要件は個人情報保護法の場合と同一であり、電子政府推奨暗号リストまたはISO/IEC 18033等に掲載されている暗号技術の使用と、復号手段の適切な管理が求められる[^21]。 #### 6.6 実務上の留意事項免除が適用される場合であっても、個人情報保護委員会への任意報告は可能であり、事案の社会的影響等を考慮して任意に公表や情報提供を行うことが望ましい場合もあるとされている[^18][^22]。また、暗号化技術の水準や管理状況は常に最新の技術動向に沿って評価し、必要に応じて更新する必要がある[^22]。 --- ### 7. 比較分析：法域間の共通点と差異 #### 7.1 免除の強度による分類調査対象の法域を、暗号化による免除の強度で分類すると以下のようになる。 | 免除の強度 | 法域 | 特徴 | |---|---|---| | **明示的セーフハーバー** | 米国州法（多数）、HIPAA/HITECH、**日本（個人情報保護法）** | 暗号化が要件を満たせば通知義務が自動的に免除 | | **条件付き免除** | GDPR（第34条） | データ主体への通知は免除されうるが、監督当局への通知は原則免除されない | | **リスク評価の考慮要素** | オーストラリア（NDB）、カナダ（PIPEDA） | 暗号化は「重大な被害の可能性」の評価における一要素 | 日本の制度は、報告義務（個人情報保護委員会）と本人通知義務の双方を免除する点で、米国HIPAA/HITECHと同じ「明示的セーフハーバー」に分類される。GDPRは監督当局への報告は原則免除しないため、日本とGDPRの間には構造的な差異がある。 #### 7.2 共通する原則法域間の構造的差異にもかかわらず、以下の共通原則が確認できる。第一に、すべての法域で暗号化はデータ侵害の影響を軽減する措置として認識されている。明示的セーフハーバーを持たない法域でも、暗号化はリスク評価において有利に作用する。第二に、暗号化の実効性が前提条件である。暗号鍵が同時に漏洩した場合、免除は適用されないという原則は、HIPAA、GDPR、およびリスク評価型の法域に共通する。暗号化の実装だけでなく、鍵管理の適切性が免除の可否を左右する。第三に、免除の有無にかかわらず、インシデントの記録・文書化は義務となっている。GDPRでは監督当局への通知は原則免除されず、PIPEDAでは通知義務の有無に関わらず24ヶ月間の記録保持が義務付けられている[^15]。 --- ### まとめ「暗号化されたデータの漏洩は多くの法域でデータ侵害通知義務の免除要件となる」という主張は、調査の結果、概ね事実であると確認された。ただし、免除の構造は法域によって大きく異なる。米国では、州法レベルおよびHIPAA/HITECH法において明示的な暗号化セーフハーバーが広く存在し、暗号化が技術的要件を満たしていれば通知義務が自動的に免除される。EUのGDPRでは、暗号化はデータ主体への通知免除の条件として明記されているが、監督当局への通知は原則免除されない。オーストラリアとカナダでは、明示的なセーフハーバーは存在しないものの、暗号化はリスク評価において「重大な被害の可能性」を低減する重要な考慮要素として機能する。日本の個人情報保護法は、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられた個人データについて、個人情報保護委員会への報告義務と本人通知義務の双方を免除する明示的セーフハーバーを採用している。技術的要件（電子政府推奨暗号リスト・ISO/IEC 18033準拠）と復号鍵管理要件（分離管理、遠隔削除、第三者行使不能のいずれか）が具体的に示されており、国際的に見ても比較的明確な基準を提供している。いずれの法域においても、暗号化の実装は「通知義務の免除」と「コスト削減」の両面で実務的な効果を持つ。特に端末紛失のコンテキストでは、フルディスク暗号化はGDPRのEDPBガイドラインで通知免除の典型例として明示的に言及されており、また日本法においてもリモートワイプ機能の具備が復号鍵管理要件の一つとして認められていることから、出張時のノートPC紛失対策としての実務的価値は高い。 --- ## 脚注 [^1]: National Association of Attorneys General (NAAG), "Data Breaches." 全50州、DC、グアム、プエルトリコ、米領バージン諸島がデータ侵害通知法を制定している旨の記載。 https://www.naag.org/issues/consumer-protection/consumer-protection-101/privacy/data-breaches/ (2026-02-14 閲覧) [^2]: 同上。暗号化セーフハーバーを各州法の主要論点として記載。 [^3]: AMP Legal (Cyber Law Blog), "Safe Harbor From Data Breach Notification," August 2017. 州法におけるセーフハーバーの構造と実務的効果の解説。 https://www.amp.legal/blog/safe-harbor-from-data-breach-notification/ (2026-02-14 閲覧) [^4]: Barclay Damon LLP, "Encryption Considerations under Data Breach Notification Laws," March 2019. 州法の暗号化要件の差異（マサチューセッツ128ビット要件、カリフォルニア一般的手法要件等）の分析。 https://www.datasecurityandprivacylawblog.com/2019/03/encryption-considerations-under-data-breach-notification-laws/ (2026-02-14 閲覧) [^5]: American Medical Association, "HIPAA Breach Notification Rule." HIPAAは「unsecured PHI」のみを侵害通知の対象とする旨の解説。 https://www.ama-assn.org/practice-management/hipaa/hipaa-breach-notification-rule (2026-02-14 閲覧) [^6]: HHS (U.S. Department of Health and Human Services), "Breach Notification Guidance." PHIを「unusable, unreadable, or indecipherable」にする技術として暗号化と破壊を指定。NIST標準への準拠要件を記載。 https://www.hhs.gov/hipaa/for-professionals/breach-notification/guidance/index.html (2026-02-14 閲覧) [^7]: HHS, "FAQ: If a CSP stores only encrypted ePHI and does not have a decryption key, is it a HIPAA business associate?" 暗号鍵が同時に漏洩した場合のセーフハーバー不適用について記載。 https://www.hhs.gov/hipaa/for-professionals/faq/2076/if-a-csp-stores-only-encrypted-ephi-and-does-not-have-a-decryption-key-is-it-a-hipaa-business-associate/index.html (2026-02-14 閲覧) [^8]: Northern Illinois University, "HIPAA Breach Notification Rule: Explanation and Guidance." 暗号鍵を暗号化データとは別のデバイスで管理する必要性について記載。 https://www.niu.edu/doit/about/policies/hipaa-breach-notification-rule.shtml (2026-02-14 閲覧) [^9]: GDPR第34条原文。暗号化による通知免除条件（第34条3項(a)）を規定。 https://gdpr-info.eu/art-34-gdpr/ (2026-02-14 閲覧) [^10]: GDPR第33条原文。監督当局への通知義務（72時間以内）を規定。 https://gdpr-info.eu/art-33-gdpr/ (2026-02-14 閲覧) [^11]: EDPB (European Data Protection Board), "Guidelines 9/2022 on personal data breach notification under GDPR," Version 2.0, 28 March 2023. 暗号化・仮名化による免除の条件、暗号化の陳腐化リスクについて記載。 https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf (2026-02-14 閲覧) [^12]: GDPRinfo.eu, "GDPR Article 34 Explained: Communication of a Personal Data Breach to the Data Subject." 暗号化されたノートPC盗難の事例を免除適用の典型例として記載。 https://gdprinfo.eu/gdpr-article-34-explained-communication-of-a-personal-data-breach-to-the-data-subject (2026-02-14 閲覧) [^13]: OAIC (Office of the Australian Information Commissioner), "About the Notifiable Data Breaches scheme." NDBスキームの概要。 https://www.oaic.gov.au/privacy/notifiable-data-breaches/about-the-notifiable-data-breaches-scheme (2026-02-14 閲覧) [^14]: OAIC, "Part 4: Notifiable Data Breach (NDB) Scheme." 暗号化によるリスク軽減の事例ガイダンス（保険会社のハッキング事例、メモリスティック紛失事例）を記載。 https://www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/preventing-preparing-for-and-responding-to-data-breaches/data-breach-preparation-and-response/part-4-notifiable-data-breach-ndb-scheme (2026-02-14 閲覧) [^15]: Baker McKenzie, "Security Requirements and Breach Notification | Canada," Global Data and Cyber Handbook. PIPEDAの侵害通知義務の構造を解説。 https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/north-america/canada/topics/security-requirements-and-breach-notification (2026-02-14 閲覧) [^16]: David Young Law, "PIPEDA's Breach Reporting Rules ─ in force November 1," November 2018. 暗号化がリスク評価の考慮要素である旨のOPCガイダンスの解説。 https://davidyounglaw.ca/compliance-bulletins/pipedas-breach-reporting-rules-in-force-november-1/ (2026-02-14 閲覧) [^17]: BUSINESS LAWYERS, 「個人情報保護委員会への漏えい報告義務があるのはどんな場合？」2024年9月。報告対象事態の4類型、報告期限、および高度な暗号化による免除規定の解説。 https://www.businesslawyers.jp/practices/1433 (2026-02-14 閲覧) [^18]: のぞみ総合法律事務所, 「令和2年・令和3年改正個人情報保護法を踏まえた事業者の実務対応その２」2021年11月。施行規則第7条に基づく「高度な暗号化その他の個人の権利利益を保護するために必要な措置」による報告義務免除の法的構造を解説。 https://www.nozomisogo.gr.jp/newsletter/7988 (2026-02-14 閲覧) [^19]: 個人情報保護委員会, 「『漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合』とは、どのような場合が該当しますか。」（Q&A Q6-19相当）。電子政府推奨暗号リスト・ISO/IEC 18033準拠の要件、および復号鍵管理の3要件を記載。 https://www.ppc.go.jp/all_faq_index/faq1-q6-19_/ (2026-02-14 閲覧) ※本文中の引用は、個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するＱ＆Ａ」に基づく。 https://www.ppc.go.jp/files/pdf/170530_faq_rouei.pdf (2026-02-14 閲覧) [^20]: 坂生雄一（弁護士）, 「『高度な暗号化等の秘匿化がされている場合』—法的意義と実務対応」2025年10月。復号鍵管理の3要件の解説および実務上の判断基準を記載。 https://bengoshi-sakao.com/column/%E3%80%8C%E9%AB%98%E5%BA%A6%E3%81%AA%E6%9A%97%E5%8F%B7%E5%8C%96%E7%AD%89%E3%81%AE%E7%A7%98%E5%8C%BF%E5%8C%96%E3%81%8C%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B%E5%A0%B4%E5%90%88%E3%80%8D/ (2026-02-14 閲覧) [^21]: 個人情報保護委員会, 「『特定個人情報について、高度な暗号化等の秘匿化がされている場合』とは、どのような場合が該当しますか。」番号法第29条の4に基づく特定個人情報の免除要件を記載。 https://www.ppc.go.jp/all_faq_index/faq5-q17-14/ (2026-02-14 閲覧) [^22]: 同[^20]。免除適用時における任意報告・公表の推奨、および暗号化技術の継続的な評価の必要性を記載。