特定個人情報の漏えい事案等が発生した場合の対応について(特定個人情報保護委員会発表)

特定個人情報保護委員会は、特定個人情報の漏えい事案等が発生した場合の対応について下記の通り発表しました。
情報漏えい事案が発生した場合の具体的な対処方法として、「特定個人情報取扱い規程」に明示するとともに、社内で周知徹底しましょう。

1.事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。(努力義務)
(1) 事業者内部における報告、被害の拡大防止
(2) 事実関係の調査、原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討・実施
(5) 影響を受ける可能性のある本人への連絡等
(6) 事実関係、再発防止策等の公表

2.事業者は、その取り扱う特定個人情報に関する番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、次のとおり報告するよう努める。(努力義務)
(1) 報告の方法
ア 個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合
事業者が個人情報取扱事業者(注1)に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告する。
この場合、報告を受けた主務大臣等(注2)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた「個人情報の保護に関する法律」(以下「個人情報保護法」という。)第37条第1項に規定する認定個人情報保護団体は、特定個人情報保護委員会にその旨通知する。
なお、これらの場合、主務大臣等の求めにより個人情報取扱事業者が直接特定個人情報保護委員会へ報告しても差し支えない。
(注1)個人情報取扱事業者以外の事業者が主務大臣のガイドライン等の規定に従う場合には、当該事業者を含む。
(注2)主務大臣のガイドライン等に報告先として規定されている個人情報保護法第51条、「個人情報の保護に関する法律施行令」第11条の規定により事務を処理する地方公共団体の長等を含む。
イ 個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合
特定個人情報保護委員会に報告する。
ウ その他、個人番号の利用制限違反など番号法固有の規定に関する事案等の場合
特定個人情報保護委員会に報告する。

(2) 報告の時期
ア (1)アについては、主務大臣のガイドライン等の規定に従い、(1)イ及びウについては、速やかに報告するよう努める。
イ アにかかわらず、特定個人情報に関する重大事案(注)又はそのおそれのある事案が発覚した時点で、直ちにその旨を特定個人情報保護委員会に報告する。その後、事実関係及び再発防止策等について、(1)に従い報告する。
(注) 「重大事案」とは、①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正ア
クセス又は不正プログラムによるものを含む。)、②事案における特定個人情報の本人の数が101人以上である場合、③不特定多数の人が閲覧できる状態になった場合、④従業員等が不正の目的で持ち出したり利用したりした場合、⑤その他事業者において重大事案と判断される場合を指す。

(3) 特定個人情報保護委員会への報告を要しない場合
個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、特定個人情報保護委員会への報告を要しない。
①影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
②外部に漏えいしていないと判断される場合
③従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
④事実関係の調査を了し、再発防止策を決定している場合
⑤事案における特定個人情報の本人の数が100人以下の場合

本件の詳細については、こちらをご覧ください。

事業者における特定個人情報の漏えい事案等が発生した場合の対応についてのQ&Aについては、こちらをご覧ください。

事業者における特定個人情報の漏えい事案等の報告様式
①委員会への報告に関する任意様式(重大事案の報告を除く) ⇒ PDF形式はこちらをご覧ください。
② 重大事案又はそのおそれのある事案の報告様式       ⇒ PDF形式はこちらをご覧ください。
上記報告書のWORD形式は、こちらをご覧ください。

中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。まずは、ご相談下さい。