1 個人データの漏えい等が発覚したら関係各所に連絡、報告

個人データが漏えい、滅失、毀損してしまったときや、そのおそれがあるときに備えて、関係各所に連絡、報告できる体制を整えておく必要があります。

1)社内における報告および被害の拡大防止

責任ある立場の人に報告する手順や連絡手段の他、休日や深夜などにおける対応についても細かく定め、周知することで、誰もが同じような対応が取れるように整備することが重要です。

2)事実関係の調査、原因の究明、影響範囲の特定、再発防止策の検討および実施

一連の流れでの対応となります。再発防止策を講じるには、どうして漏えい等事案が発生したのか、何が問題だったのかなど細かく事案を調査した上で検討する必要があります。

3)個人情報保護委員会への報告および本人への通知

個人の権利利益を侵害するおそれが大きく、一定の要件に該当する漏えい等事案については、個人情報保護委員会への報告および本人への通知が義務化されたので注意が必要です(詳しくは次章をご覧ください)。

なお、ここでいう個人データの「漏えい等」とは、「漏えい」「滅失」「毀損」の3つの総称です。

画像1

2 個人情報保護委員会へ報告しなければならない場合とは?

個人の権利利益を侵害するおそれが大きく、一定の要件に該当する漏えい等事案とは、

  1. 要配慮個人情報が含まれる個人データの漏えい等
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等
  4. 個人データに係る本人の数が1000人を超える漏えい等

のことです(「報告対象事態」といいます)。

個人情報保護委員会への報告を要する事例として次のような場合が挙げられます。

画像2

個人情報保護委員会への報告は、「速報」と「確報」の2段構えで対応します。個人情報取扱事業者は報告対象事態を知った時点からおおむね3~5日以内に「速報」を、また、報告対象事態を知った時点から30日以内(不正の目的をもって行われたおそれがある個人データの漏えい等の場合は60日以内)に「確報」をあげなければなりません。

実際の報告は、原則として、個人情報保護委員会のホームページにある報告フォームから次の1から9までに掲げる事項を入力して行います。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足ります。

  1. 概要
  2. 漏えい等が発生し、または発生したおそれがある個人データの項目
  3. 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
  4. 原因
  5. 二次被害またはそのおそれの有無およびその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項

■個人情報保護委員会「漏えい等の対応とお役立ち資料」■

https://www.ppc.go.jp/personalinfo/legal/leakAction/

(注)マイナンバーが含まれている場合と、そうでない場合で報告フォームの入り口が異なります。

3 本人への通知は「いつまでに」「どうやって」行う?

個人情報取扱事業者は、報告対象事態を知ったときは、本人への通知を行わなければなりません。対応内容は、個人情報保護委員会への報告とほぼ重なりますが、「いつまでに」「どうやって」の部分が異なります。

本人への通知までの時間的制限は明示されていません。具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断します。

また、本人への通知については、その様式は定められていません。ガイドラインでは、本人にとって分かりやすい形で通知を行うことが望ましいとされており、文書を郵便等で送付することや、電子メールを送信することによって知らせる方法が例示されています。

なお、本人へ通知すべき事項については、漏えい等報告における報告事項のうち、「概要」「漏えい等が発生し、または発生したおそれがある個人データの項目」「原因」「二次被害またはそのおそれの有無およびその内容」「その他参考となる事項」に限られます。

以上(2024年12月更新)

pj60352
画像:Mono-Adobe Stock