第4回マイナンバー情報漏洩事故に関するQ&A(個人情報保護委員会)

第4回目は「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成 27 年特定個人情報保護委員会規則第5号)に係る事項についてご案内します。

Q4-1 規則第2条に基づく重大事態が生じた場合、重大事態の報告を個人情報保護委員会に報告すれば、事業所管大臣等への報告はしなくてもよいですか。

A4-1 規則第2条各号に基づく重大事態が生じた場合には、直ちにその旨を個人情報保護委員会に報告するとともに、その事案が金融関連分野における個人情報保護に関するガイドライン等により事業所管大臣等に報告する事案に該当する場合には、別途報告する必要があります。
その後、事実関係や再発防止策等について、規則に基づき、個人情報保護委員会に報告する必要があります。なお、規則に基づく報告に当たっては、個人情報保護委員会ホームページに記載の様式に従って報告してください。(平成 29 年5月更新)

Q4-2 個人番号関係事務を処理する民間事業者において、特定個人情報を処理しているパソコンがウイルス感染したことが発覚した場合、規則第2条第1号にある重大事態に当てはまるのですか。

A4-2 規則第2条第1号においては、民間事業者が個人番号関係事務を処理するために使用している情報システムからの情報漏えい等は該当しませんが、特定個人情報に係る本人の数が 100 人を超える漏えいなど、他の重大事態の類型に該当しないかを確認する必要があります。

Q4-3 規則第2条第3号にある「電磁的方法により不特定多数の者が閲覧することができる状態」とは、具体的にどのような状態を指しますか。

A4-3 「不特定多数の者」は、例えば、事業者(委託先で特定個人情報を取り扱う従業者を含む。)以外の者が前提ですので、誤ってインターネット上に特定個人情報を掲載した場合や情報システムに保存した特定個人情報が事業者の外部から容易にアクセス可能な状態になっていた場合を想定しています。なお、アクセスログなどにより閲覧がなかったことを確実に確認できた場合には、規則第2条第3号に規定する事態には該当しないと解されます。

★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。

★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。