第33回特定個人情報の漏えい事案が発生した場合の事業者の対応について①

今日から、9月28日に特定個人情報保護委員会がパブリックコメントを経て発表しました「情報漏えいした場合の事業者の対応方法」について、ご案内します。
情報漏えい事故が実際に発生した場合の実務対策として、特に重要な論点ですので、社内で周知徹底しましょう。
また、市販の特定個人情報取扱規程には、本件が取り上げられていないものが多く、規程の不備となりますので、各事業者で修正する必要がありますので、重ねてご留意ください。
本日は、発生時の事業者の対応についてご紹介致します。マイナンバー法での規定がないため、努力義務でありかつ罰則はありません。

1.事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。
(1) 事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3) 影響範囲の特定
(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施
(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6) 事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。

マイナンバー実務担当者向けの無料少人数セミナー(11月5日、10日、20日)を開催します。詳細は、こちらをご覧ください。

いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。

maina