第37回特定個人情報の漏えい事案が発生した場合の事業者の対応について⑤

今日も、9月28日に特定個人情報保護委員会がパブリックコメントを経て発表しました「情報漏えいした場合の事業者の対応方法」について、ご案内します。本日は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合の報告について、Q&A方式でご案内します。実務上の判断基準として重要な論点です。

Q2-5 特定個人情報を処理しているパソコンがウイルス感染したことが発覚した場合、重大事案にある「①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)」に当てはまるのですか。
A2-5 「情報提供等事務を実施する者の情報提供ネットワークシステム」とは、番号法第19条第7号の規定による特定個人情報の提供の求め又は提供に関する事務を情報提供ネットワークシステムを使用して行うことを前提とした場合ですので、当該情報提供ネットワークシステムに接続しない事業者において使用している情報システムからの情報漏えい等は該当しません。

Q2-6 重大事案にある「③不特定多数の人が閲覧できる状態になった場合」とは、具体的にどのような場合ですか。また、特定個人情報が記載されている書類を紛失した場合も当てはまるのですか。
A2-6 「不特定多数の人」は、事業者(委託先で特定個人情報を取り扱う従業者を含む。)以外の者が前提ですので、事業者において、誤ってインターネット上に特定個人情報を掲載した場合や情報システムに保存した特定個人情報が事業者の外部から容易にアクセス可能な状態になっていた場合を想定しています。なお、アクセスログなどにより閲覧がなかったことを確実に確認できた場合には、「重大事案」には含まないものと解されます。
また、特定個人情報が記載されている書類を紛失した場合は、ここでの「不特定多数の人が閲覧できる状態になった場合」には含まれませんが、他の重大事案の類型に該当しないか確認する必要があります。

Q2-7 重大事案にある「④従業員等が不正の目的で持ち出したり利用したりした場合」には、従業員が自宅で業務の続きをするために、社内規程に違反して、特定個人情報を含む資料を自宅に持ち帰った場合も当てはまるのですか。
A2-7 例えば、以下の事例のように、必ずしも「不正の目的」とは言えない目的又は不注意で持ち出してしまった場合などは、基本的には、「従業員等が不正の目的で持ち出したり利用したりした場合」には当てはまらないと考えられます。なお、以下の事例の場合でも、他の重大事案の類型に該当しないか確認する必要があります。
・個人番号関係事務に従事する従業員が、勤務時間外に入力作業を行うため、社内規程に反して、個人番号が含まれるデータを自宅のパソコンに送った場合
・従業員が外出先で取引相手から個人番号が記載された書類を受け入れたが、帰社途中に、当該書類を収納した鞄を紛失した場合
・従業員が自宅に持ち帰った業務用のファイルに、意図せずに、特定個人情報が記載された書類が混入していた場合

Q2-8 特定個人情報保護委員会への報告を要しない場合で、「①影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)」とありますが、「本人への連絡が困難な場合」とは、どういう場合を指しますか。
A2-8 基本的には、影響を受ける可能性のある本人全てに連絡することが前提ですが、例えば、電話や手紙等により複数回にわたって本人への連絡を試みたにもかかわらず、結果的に本人に連絡をとることができなかった場合等が当てはまります。

マイナンバー実務担当者向けの無料少人数セミナー(11月5日、10日、20日)を開催します。詳細は、こちらをご覧ください。

いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。

maina