| 平成28年1月1日から改正番号法が施行されるに先立って、平成27年12月25日に「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)が制定され、併せて「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」が改正されました。
■事業者における特定個人情報の漏えい事案等が発生した場合の対応について
1.特定個人情報の漏えい事案等が発覚した場合に講ずべき措置
事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。
(イ)事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(ロ)事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(ハ)影響範囲の特定
(ロ)で把握した事実関係による影響の範囲を特定する。
(ニ)再発防止策の検討・実施
(ロ)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(ホ)影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
(ヘ)事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。
2.本告示に基づく報告
事業者は、その取り扱う特定個人情報に関する番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、次のとおり報告するよう努める。
(1)報告の方法
ア.個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合
事業者が個人情報取扱事業者(注1)に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告する。この場合、報告を受けた主務大臣等(注2)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた「個人情報の保護に関する法律」第37条第1項に規定する認定個人情報保護団体は、個人情報保護委員会にその旨通知する。なお、これらの場合、主務大臣等の求めにより個人情報取扱事業者が直接個人情報保護委員会へ報告しても差し支えない。
(注1)個人情報取扱事業者以外の事業者が主務大臣のガイドライン等の規定に従う場合には、当該事業者を含む。
(注2)主務大臣のガイドライン等に報告先として規定されている個人情報保護法第67条、「個人情報の保護に関する法律施行令」第11条の規定により事務を処理する地方公共団体の長等を含む。
イ.個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合
個人情報保護委員会に速やかに報告する。
ウ.その他、個人番号の利用制限違反など番号法固有の規定に関する事案等の場合
個人情報保護委員会に速やかに報告する。
(2)個人情報保護委員会への報告を要しない場合
個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、個人情報保護委員会への報告を要しない。
ア.影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
イ.外部に漏えいしていないと判断される場合
ウ.事実関係の調査を了し、再発防止策を決定している場合
エ.「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(以下「規則」という。)第2条に規定する、特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態(以下「重大事態」という。)に該当しない場合
3.番号法第28条の4に規定する重大事態等に関する報告
(1)規則に基づく報告
2の番号法違反の事案又は番号法違反のおそれのある事案のうち、重大事態に該当する事案については、事業者は、番号法第28条の4の規定に基づき、規則の規定に従って個人情報保護委員会に報告する必要がある。
(2)本告示に基づく報告
事業者は、重大事態に該当する事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を個人情報保護委員会に報告するよう努める。なお、複数の事業者から特定個人情報の取扱いの委託を受けた者において、当該複数の事業者の特定個人情報について重大事態に該当する事案又はそのおそれのある事案が発覚した場合は、当該委託を受けた者から直接個人情報保護委員会に報告することを妨げない。
(参考)規則に規定する重大事態
1. 次に掲げる特定個人情報が漏えい(不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第2条第4項に規定する不正アクセス行為をいう。)による漏えいその他番号法第19条各号に該当しない特定個人情報の提供を含む。)し、滅失し、又は毀損した事態
(イ)情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報
(ロ)個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報
(ハ)行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報
2.次に掲げる特定個人情報に係る本人の数が100人を超える事態
(イ)漏えいし、滅失し、又は毀損した特定個人情報
(ロ)番号法第9条の規定に反して利用された個人番号を含む特定個人情報
(ハ)番号法第19条の規定に反して提供された特定個人情報
3.個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態
4.不正の目的をもって、個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を利用し、又は提供した者がいる事態
詳しくは下記参照先をご覧ください。 |
