第36回特定個人情報の漏えい事案が発生した場合の事業者の対応について④

今日も、9月28日に特定個人情報保護委員会がパブリックコメントを経て発表しました「情報漏えいした場合の事業者の対応方法」について、ご案内します。本日は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合の報告について、Q&A方式でご案内します。

Q2-1 個人情報取扱事業者が特定個人情報に関する漏えい事案等を報告する際に、様式はありますか。
A2-1 個人情報取扱事業者においては、各主務大臣のガイドライン等に定めのある様式やその定めに従って報告を行っている様式で報告していただくことで構いません。

Q2-2 「個人番号の利用制限違反など番号法固有の規定に関する事案」とは、どういう事態を指すのですか。
A2-2 ここでいう「個人番号の利用制限違反など番号法固有の規定に関する事案」とは、個人情報保護法では制限されておらず、番号法のみに規定された事項に違反する又はそのおそれのある事案を指します。
具体的には、番号法によって定められた社会保障、税及び災害対策に関する特定の事務以外で個人番号を利用した場合(第9条)、番号法で限定的に明記された場合以外で特定個人情報を提供した場合(第19条)などが該当します。

Q2-3 重大事案が発覚した場合、重大事案の報告を特定個人情報保護委員会に報告すれば、主務大臣等への報告はしなくてもいいですか。
A2-3 重大事案が発覚した場合には、直ちに特定個人情報保護委員会へ報告するとともに、その事案が主務大臣のガイドライン等により報告対象にも該当する場合には当該ガイドラインの規定に従って報告する必要があります。

Q2-4 「重大事案又はそのおそれのある事案」とありますが、「そのおそれ」に該当するかどうかの判断はどのように考えればよいですか。
A2-4 例えば、事案が発覚した時点では事実関係等を調査しないと重大事案に該当するかどうか明確ではないが、重大事案に該当する可能性があると合理的に予想される場合は、重大事案の「おそれ」があると言えます。

マイナンバー実務担当者向けの無料少人数セミナー(11月5日、10日、20日)を開催します。詳細は、こちらをご覧ください。

いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。

maina