第4回「個人情報」を漏洩した場合の対応~Q&A②

本日は、Q&Aの2回目をご案内します。

Q12-6 漏えい等事案について個人情報保護委員会等に報告する際の様式はありますか。
A12-6 参考となる報告書の様式を、個人情報保護委員会のホームページにおいて公表していますので、そちらをご利用ください。なお、様式に規定された事項が全て含まれるものであれば、異なる様式による報告も可能です。 (平成 29 年5月更新)

Q12-7 「法第 44 条第1項に基づき法第 40 条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野」とは、どの分野ですか。また、報告先はどこになりますか。

A12-7 法第 44 条第1項に基づき法第 40 条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野及びその報告先については、個人情報保護委員会のホームページにおいて公表していますので、そちらをご参照ください。 (平成 29 年5月更新)

Q12-8 個人情報保護委員会等への報告を要しないと規定されている場合であっても、個人情報保護委員会等への報告を行うことは可能ですか。

A12-8 可能です。また、個人情報保護委員会等への報告を要しない場合に形式的に該当する場合であっても、漏えい等事案に係る個人データ又は加工方法等情報の件数が膨大であるなど社会的影響が大きいと考えられる事案の場合には、個人情報保護委員会等への報告を行うことが望ましいと考えられます。

Q12-9 委託先において漏えい等事案が生じた場合、委託先が個人情報保護委員会等への報告を行うことになりますか。

A12-9 委託先において漏えい等事案が発生した場合であっても、委託元が漏えい等事案に係る個人データ又は加工方法等情報について最終的な責任を有することに変わりありませんので、原則として、委託元が個人情報保護委員会等へ報告するよう努めていただきます。ただし、漏えい等事案に係る個人データ又は加工方法等情報の実際の取扱状況を知る委託先が報告の内容を作成したり、委託元及び委託先の連名で報告するといったことが妨げられるものではありません。

Q12-10 実質的に個人データ又は加工方法等が外部に漏えいしていないと判断される場合に該当する「漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合」とは、どのような場合が該当しますか。

A12-10 実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合のうち、「高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等事案に係る情報について、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。
第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC 18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。
また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます。

Q12-11 テンプレート保護技術(暗号化等の技術的措置を講じた生体情報を復号することなく本人認証に用いる技術)を施した個人識別符号が漏えいした場合も、個人情報保護委員会等への報告、本人への連絡等並びに事実関係及び再発防止策等の公表を行う必要がありますか。

A12-11 テンプレート保護技術を施した個人識別符号について、高度な暗号化等の秘匿化(Q12-10 参照)がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実を直ちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータを直ちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」に該当し、個人情報保護委員会等への報告は不要と考えられます。
なお、本人への連絡等並びに事実関係及び再発防止策等の公表については、事案に応じて必要な措置を講ずることとされています。

Q12-12 取引先に荷物を送付するに当たり、誤って宛名票を二重に貼付してしまい、本来の送付先とは無関係の第三者の宛名情報が漏えいした場合も、「FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当し得ますか。

A12-12 御指摘の場合も、誤って貼付した宛名票において、宛先及び送信者名以外に個人データ又は加工方法等情報が含まれていないのであれば、「FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当すると考えられます。

★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。

★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。