第1回マイナンバー情報漏洩事故に関するQ&A(個人情報保護委員会)

本日より、皆様の最も関心が高い、マイナンバー情報漏洩事故に関するQ&A(平成29年5月30日現在)をシリーズでご案内いたします。
日頃から、社内で情報を共有しておく必要があります。
第1回目は、「特定個人情報の漏えい事案等が発覚した場合に講ずべき措置」についてご案内します。

Q1-1 「(1) 事業者内部における報告、被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。

A1-1 「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、番号法違反又は番号法違反のおそれのある事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。

Q1-2 「(1) 事業者内部における報告、被害の拡大防止」にある「被害の拡大を防止する」とは、具体的には、どのような対応をとらなければなりませんか。

A1-2 例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます。

Q1-3 「(3) 影響範囲の特定」にある「把握した事実関係による影響の範囲を特定する」とは、どういうことですか。

A1-3 事案の内容によりますが、例えば、漏えい事案の場合は、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。

Q1-4 「(5) 影響を受ける可能性のある本人への連絡等」にある「本人が容易に知り得る状態に置く」とは、どういうことですか。

A1-4 本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。

Q1-5 「(5) 影響を受ける可能性のある本人への連絡等」及び「(6) 事実関係、再発防止策等の公表」について、「事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもよいのですか。

A1-5 例えば、紛失したデータを第三者に見られることなく速やかに回収した場合や高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合等には、本人への連絡等や公表を省略することも考えられますので、各事業者において事案の内容等を踏まえて判断してください。 なお、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、専門機関等に相談することも考えられます。

★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。

★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。