平成26年12月に策定された「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「第3-6特定個人情報の漏えい事案等が発生した場合の対応」において、特定個人情報の漏えい事案等が発生した場合の対応については別に定めることとされていましたが、事業者における特定個人情報の漏えい事案等の違反の事案又は番号法違反のおそれのある事案が発覚した場合の対応について定められました。
1.特定個人情報の漏えい事案等が発覚した場合に講ずべき措置
事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。
(1)事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2)事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3)影響範囲の特定
(2)で把握した事実関係による影響の範囲を特定する。
(4)再発防止策の検討・実施
(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5)影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6)事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。
2.本告示に基づく報告
事業者は、その取り扱う特定個人情報に関する番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、次のとおり報告するよう努める。
(1)報告の方法
ア.個人番号又は特定個人情報の漏えい等の事案の場合
個人情報保護委員会に速やかに報告する。ただし、「個人情報の保護に関する法律」(平成15 年法律第57 号。以下「個人情報保護法」という。)第47 条第1項に規定する認定個人情報保護団体の対象事業者である個人情報取扱事業者は、当該認定個人情報保護団体に報告する。
上記にかかわらず、個人情報保護法第44条第1項に基づき個人情報保護法第40 条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野における事業者又は金融関連分野における個人情報保護に関するガイドライン若しくは医療関連分野における個人情報保護に関するガイダンス等の適用を受ける事業者の報告先等については、別途公表するところによる。これらの場合、報告を受けた報告先は、個人情報保護委員会にその旨通知する。
イ.上記のほか、個人番号の利用制限違反等の番号法固有の規定に関する事案等の場合
個人情報保護委員会に速やかに報告する。
(2)個人情報保護委員会への報告を要しない場合
従業員の数が100人以下の事業者(個人番号利用事務実施者を除く。)にあっては、次の全てに当てはまる場合は、個人情報保護委員会への報告を要しない(2.(1)イの場合を除く。)。
ア.影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
イ.実質的に外部に漏えいしていないと判断される場合
ウ.事実関係の調査を了し、再発防止策を決定している場合
エ.「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号。以下「規則」という。)第2条に規定する特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態(以下「重大事態」という。)に該当しない場合
3.番号法第29 条の4に規定する重大事態等に関する報告
(1)規則に基づく報告
2の番号法違反の事案又は番号法違反のおそれのある事案のうち、重大事態に該当する事案については、事業者は、番号法第29条の4の規定に基づき、規則の規定に従って個人情報保護委員会に報告する必要がある。
(2)本告示に基づく報告
事業者は、重大事態に該当する事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を個人情報保護委員会に報告するよう努める。なお、複数の事業者から特定個人情報の取扱いの委託を受けた者において、当該複数の事業者の特定個人情報について重大事態に該当する事案又はそのおそれのある事案が発覚した場合は、当該委託を受けた者から直接個人情報保護委員会に報告することを妨げない。
詳しくは下記参照先をご覧ください。 |