第35回特定個人情報の漏えい事案が発生した場合の事業者の対応について③

今日も、9月28日に特定個人情報保護委員会がパブリックコメントを経て発表しました「情報漏えいした場合の事業者の対応方法」について、ご案内します。本日は、番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合の措置について、Q&A方式でご案内します。

Q1-1 「(1) 事業者内部における報告、被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。
A1-1 「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、番号法違反又は番号法違反のおそれのある事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。

Q1-2 「(1) 事業者内部における報告、被害の拡大防止」にある「被害の拡大を防止する」とは、具体的にどのような対応が考えられますか。
A1-2 例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます。

Q1-3 「(3) 影響範囲の特定」にある「把握した事実関係による影響の範囲を特定する」とは、どういうことですか。
A1-3 事案の内容によりますが、例えば、漏えい事案の場合は、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。

Q1-4 「(5) 影響を受ける可能性のある本人への連絡等」にある「本人が容易に知り得る状態に置く」とは、どういうことですか。
A1-4 本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。

Q1-5 「(5) 影響を受ける可能性のある本人への連絡等」及び「(6) 事実関係、再発防止策等の公表」について、「事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもいいのですか。
A1-5 例えば、紛失したデータを第三者に見られることなく速やかに回収した場合や高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合等には、本人への連絡等や公表を省略することも考えられますので、各事業者において事案の内容等を踏まえて判断してください。
なお、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、専門機関等に相談することも考えられます。

マイナンバー実務担当者向けの無料少人数セミナー(11月5日、10日、20日)を開催します。詳細は、こちらをご覧ください。

いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。

maina