第3回マイナンバー情報漏洩事故に関するQ&A(個人情報保護委員会)

第3回目は、「番号法第 29 条の4に規定する重大事態等に関する報告」についてご案内します。

Q3-1 「(1) 規則に基づく報告」と「(2) 本告示に基づく報告」がありますが、事案が発覚した時点で、告示に基づいて直ちに個人情報保護委員会に報告すれば、規則に基づく報告はしなくてもよいですか。

A3-1 規則第2条各号に規定する重大事態に該当する事案又はそのおそれのある事案が発覚した時点の報告については、原則として、事案の報告における個人情報保護委員会への第一報として告示に基づいて直ちにその旨を個人情報保護委員会に報告するものです。その後、確報として、規則に基づき、事態の概要及び原因、再発防止策等について個人情報保護委員会に報告する必要があります。なお、事案が発覚した時点で、第一報として規則に規定する報告事項(事態の概要及び原因、再発防止策等)の全てについて報告した場合は、再度、報告する必要はありません。

Q3-2 「重大事態に該当する事案又はそのおそれのある事案」とありますが、「そのおそれ」に該当するかどうかの判断はどのように考えればよいですか。

A3-2 例えば、事案が発覚した時点では事実関係等を調査しないと重大事態に該当するかどうか明確ではないが、重大事態に該当する可能性があると合理的に予想される場合は、重大事態に該当する「おそれ」があると言えます。

Q3-3 「(2) 本告示に基づく報告」について、委託先で重大事態に該当する事案又はそのおそれのある事案が生じたときの第一報は、委託先から個人情報保護委員会に報告させることは認められますか。

A3-3 複数の委託者から特定個人情報の取扱いの委託を受けた者において、重大事態に該当する事案又はそのおそれのある事案が発覚した場合、例えば、多数の事業者から事務の委託を受けている者において、重大事態に該当する事案が発覚した場合は、事案の報告の第一報として、当該委託を受けた者から直接個人情報保護委員会に報告することが可能です。なお、規則に基づく委員会への報告については、規則に規定する報告事項が記載されていれば、委託をした者と委託を受けた者が共同で個人情報保護委員会に報告することでも差し支えありません。

★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。

★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。