第34回特定個人情報の漏えい事案が発生した場合の事業者の対応について②

今日も、9月28日に特定個人情報保護委員会がパブリックコメントを経て発表しました「情報漏えいした場合の事業者の対応方法」について、ご案内します。本日は、情報漏えい時の報告方法や、報告が不要な場合についてご紹介します。本日の内容も努力義務ですのでご留意ください。

1.事業者は、その取り扱う特定個人情報に関する番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、次のとおり報告するよう努める。

(1) 報告の方法
ア 個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合
事業者が個人情報取扱事業者(注1)に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告する。この場合、報告を受けた主務大臣等(注2)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた「個人情報の保護に関する法律」(平成15年法律第57号。以下「個人情報保護法」という。)第37条第1項に規定する認定個人情報保護団体は、特定個人情報保護委員会にその旨通知する。
なお、これらの場合、主務大臣等の求めにより個人情報取扱事業者が直接特定個人情報保護委員会へ報告しても差し支えない。
(注1)個人情報取扱事業者以外の事業者が主務大臣のガイドライン等の規定に従う場合には、当該事業者を含む。
(注2)主務大臣のガイドライン等に報告先として規定されている個人情報保護法第51条、「個人情報の保護に関する法律施行令」(平成15年政令第507号)第11条の規定により事務を処理する地方公共団体の長等を含む。
イ 個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合
特定個人情報保護委員会に報告する。
ウ その他、個人番号の利用制限違反など番号法固有の規定に関する事案等の場合
特定個人情報保護委員会に報告する。

(2) 報告の時期
ア (1)アについては、主務大臣のガイドライン等の規定に従い、(1)イ及びウについては、速やかに報告するよう努める。
イ アにかかわらず、特定個人情報に関する重大事案(注)又はそのおそれのある事案が発覚した時点で、直ちにその旨を特定個人情報保護委員会に報告する。その後、事実関係及び再発防止策等について、(1)に従い報告する。
(注) 「重大事案」とは、①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)、②事案における特定個人情報の本人の数が101人以上である場合、③不特定多数の人が閲覧できる状態になった場合、④従業員等が不正の目的で持ち出したり利用したりした場合、⑤その他事業者において重大事案と判断される場合を指す。

(3) 特定個人情報保護委員会への報告を要しない場合
個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、特定個人情報保護委員会への報告を要しない。
①影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
②外部に漏えいしていないと判断される場合
③従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
④事実関係の調査を了し、再発防止策を決定している場合
⑤事案における特定個人情報の本人の数が100人以下の場合

マイナンバー実務担当者向けの無料少人数セミナー(11月5日、10日、20日)を開催します。詳細は、こちらをご覧ください。

いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。

maina