個人情報漏洩時の報告義務の留意点

今般の改正個人情報保護法の施行に合わせて、個人情報漏洩時の報告義務の内容が明確となりました。
その中で、特に留意する点について、パプリックコメントの回答例をご案内し、注意喚起になればと思います。

(質問内容)
個人情報保護委員会への報告を要しない場合について 対象事業者を個人情報取扱事業者以外の事業者から従業員の数が100人以下の事業者に変 更するとは従業員が100人以下の事業者でも1件でも個人情報を保有する場合例外なく個 人情報取扱事業者に該当するか 従業員が100人以下の事業者が顧客から4000件の個人情報を保有し漏洩した場合に4 000件の個人情報の漏えい事故の報告を個人情報保護委員会に報告義務はない 新個人情 報保護法の法令が適用され懲罰が適用されるのか 個人情報保護委員会への報告義務ないのに新個人情報保護法上の義務は発生するのか よろしくお願いします

(個人情報保護委員会の回答)
個人情報保護法の改正により、個人情報データベース等を事業の用 に供している者は全て個人情報取扱事業者となります。 なお、前提として、本告示は、事業者における特定個人情報の漏え い事案等が発生した場合の対応について定めたものであり、個人番号 を含まない個人情報が漏えい等した場合は、「個人データの漏えい等 の事案が発生した場合等の対応について」(平成29年個人情報保護委 員会告示第1号)等に従い、対応することになります。 また、個人情報保護委員会への報告を要しない場合について、本告 示においては、従業員の数が100人以下の事業者に限定しています が、「個人データの漏えい等の事案が発生した場合等の対応について」においては、従業員の数にかかわらず全ての個人情報取扱事業者 を対象としており、対象範囲が異なっております。 さらに、例示として記載された事案の「個人情報」が特定個人情報 を指すという前提であれば、番号法第28条の4及び「特定個人情報 の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告 に関する規則」(平成27年特定個人情報保護委員会規則第5号)に定 める「重大な事態」(以下「重大事態」という。)に該当しますので、 事業者は当委員会に報告する義務を負っています。なお、規則及び告 示に基づく報告を行わなかった場合、その行為のみに対する直接的な 罰則はありませんが、番号法所定の罰則規定に該当する事情が生じた場合、罰則を科せられる可能性があります。

★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。

★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。