第3回「個人情報」を漏洩した場合の対応~Q&A①

個人データの漏えい等事案対応告に関するQ&A①をご案内します。

Q12-1 漏えい等事案が発覚した場合に講ずべき措置の「(1)事業者内部における報告及び被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。

A12-1 「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。

Q12-2 漏えい等事案が発覚した場合に講ずべき措置の「(1)事業者内部における報告及び被害の拡大防止」にある「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる」とは、具体的には、どのような対応をとることが考えられますか。

A12-2 例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます。

Q12-3 漏えい等事案が発覚した場合に講ずべき措置の「(3)影響範囲の特定」にある「把握した事実関係による影響の範囲を特定する」とは、どういうことですか。

A12-3 事案の内容によりますが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。

Q12-4 漏えい等事案が発覚した場合に講ずべき措置の「(5)影響を受ける可能性のある本人への連絡等」にある「本人が容易に知り得る状態に置く」とは、どういうことですか。

A12-4 本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。

Q12-5 漏えい等事案が発覚した場合に講ずべき措置の「(5)影響を受ける可能性のある本人への連絡等」及び「(6)事実関係及び再発防止策等の公表」について、「漏えい等事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもよいのですか。

A12-5 例えば、漏えい等事案に係る個人データ又は加工方法等情報について、第三者に閲覧されることなく速やかに回収した場合、高度な暗号化等の秘匿化がされている場合、漏えい等をした事業者以外では特定の個人を識別することができない場合であって本人に被害が生じるおそれがない場合など、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等や公表を省略することも考えられます。
なお、公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し控え、専門機関等に相談することも考えられます。また、漏えい等事案の影響を受ける可能性のある本人全てに連絡がついた場合に公表を省略することも考えられます。