第2回「個人情報」を漏洩した場合の対応~詳細内容

本日は、「個人情報」を漏洩した場合の対応の詳細(平成 29 年個人情報保護委員会告示第1号)について、ご案内します。

個人情報保護委員会は、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成 28 年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を平成 28 年 11 月 30 日に公表しました。
通則ガイドラインの「4 漏えい等の事案が発生した場合等の対応」において、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」こととしていたが、当該対応について次のとおり定めております。
なお、特定個人情報の漏えい事案等が発覚した場合については、本告示によらず、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成 27 年特定個人情報保護委員会告示第2号)によることとなります。

1.対象とする事案
本告示は、次の(1)から(3)までのいずれかに該当する事案(以下「漏えい等事案」という。)を対象とする。
(1)個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏 えい、滅失又は毀損
(2)個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規 則(平成 28 年 10 月5日個人情報保護委員会規則第3号)第 20 条第1号に規定する
加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい (3)上記(1)又は(2)のおそれ

2.漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等事案が発覚した場合は、次の(1)から(6)に掲げる事 項について必要な措置を講ずることが望ましい。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時より も拡大しないよう必要な措置を講ずる。

(2)事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。

(3)影響範囲の特定 上記(2)で把握した事実関係による影響の範囲を特定する。

(4)再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を 速やかに講ずる。

(5)影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。

(6)事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、速やかに公表する。

3.個人情報保護委員会等への報告
個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等 について、個人情報保護委員会等に対し、次のとおり速やかに報告するよう努める。

(1)報告の方法
原則として、個人情報保護委員会に対して報告する。ただし、法第 47 条第1項に規定する認定個人情報保護団体の対象事業者である個人情報取扱事業者は、当該認定個人情報保 護団体に報告する。
上記にかかわらず、法第 44 条第1項に基づき法第 40 条第1項に規定する個人情報保護 委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野における個人情報取扱事業者の報告先については、別途公表するところによる(※1)。

(※1) 法第 44 条第1項に基づき法第 40 条第1項に規定する個人情報保護委員会 の権限が事業所管大臣に委任されている分野の詳細についても、別途公表す
るところによる。

(2)報告を要しない場合
次の①又は②のいずれかに該当する場合は、報告を要しない(※2)。

(※2) この場合も、事実関係の調査及び原因の究明並びに再発防止策の検討及び実 施をはじめとする上記 2.の各対応を実施することが、同様に望ましい。

①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合
(※3)

(※3) なお、「実質的に個人データ又は加工方法等情報が外部に漏えいしていない と判断される場合」には、例えば、次のような場合が該当する。
・漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化 等の秘匿化がされている場合
・漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されな いうちに全てを回収した場合
・漏えい等事案に係る個人データ又は加工方法等情報によって特定の個人を 識別することが漏えい等事案を生じた事業者以外ではできない場合(ただ
し、漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害 が生じるおそれのある情報が漏えい等した場合を除く。)
・個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい 等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合

②FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合(※4)

(※4) なお、「軽微なもの」には、例えば、次のような場合が該当する。 ・FAX 若しくはメールの誤送信、又は荷物の誤配等のうち、宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合

★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。

★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。