ホーム > 制度について > 個人情報の取扱いに関する事故の報告について

個人情報の取扱いに関する事故の報告について

プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第11条において、事業者からの事故報告を義務づけ、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルを判断し、外部有識者を交えた委員会の審議を踏まえて、最終的な措置を行っています。また、審査中及び申請検討中事業者からの事故報告についても、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づき運用しています。

なお、事故の報告は、事故を起こした事業者への制裁を目的にしているものではなく、当該事業者において、事故の重大さを認識していただき、適正な改善策の策定と実施及び再発防止を徹底することにより、個人情報保護体制をさらに強化していただくことを目的としているものです。さらに、事故の集計・分析、及びその結果に係る注意喚起・情報提供を通じて、プライバシーマーク制度に対する信頼性の維持・向上、ひいては付与事業者の消費者・取引先からの信頼性の向上につなげることも目的としております。

したがって、事故が発生した場合は、下記に示すとおり、報告を行ってください。

プライバシーマーク制度における事故の定義

プライバシーマーク制度における事故とは、「プライバシーマーク付与に関する規約(PMK500)」の第11条により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」の『4.個人情報の取扱いに関する事故についての判断基準』で示している次の事象のことをいいます。

①漏えい、 ②紛失、 ③滅失・き損、 ④改ざん、正確性の未確保、
  ⑤不正・不適正取得、 ⑥目的外利用・提供、 ⑦不正利用、 ⑧開示等の求め等の拒否

事故報告が必要な案件かどうかは、
「よくある質問と回答:14.個人情報の取扱いにおける事故の報告について」
を参照してください。

報告対象事業者

報告対象事業者は次のとおりです。

  1. プライバシーマーク付与事業者(付与事業者)
  2. プライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
  3. プライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)

報告の内容(様式)

当協会へ報告する場合は、下記の報告書様式「1.表紙」及び「2.本文」を併せて提出してください。
 なお、「1.表紙」では代表者印もしくは個人情報保護管理者印の押印漏れがないよう、また、「2.本文」では各項目に係るチェック印(■)漏れ・記入漏れがないようにお願いします。

【報告書様式】記入上の注意事項⇒PDF(177KB)

1.表紙 「個人情報の取扱いに関する事故等の報告書」
2.本文 「個人情報の取扱いに関する事故等の報告書」(様式1)

※更新審査中の事業者は、付与事業者用(様式2)を使用してください。

報告書提出のタイミングは、事後対応が完了し、再発防止策が決定したところとお考えください。提出までに時間がかかる可能性がある場合は、電話等での一報をお願いします。

事故の報告先

報告先は、次のとおりです。

報告対象者報告先
1.付与事業者付与適格決定を受けた審査機関
(ただし、更新審査中の場合は、審査中事業者の例による。)
2.審査中事業者付与適格性審査の申請をしている審査機関
3.申請検討中事業者付与適格性審査の申請を予定している審査機関

当協会へ報告する場合、報告書は下記宛てにお送りください。
  郵送等の際は、書留等配達記録が残るものでお願いします。

住所 〒106-0032 東京都港区六本木一丁目9番9号 六本木ファーストビル内
宛先 一般財団法人日本情報経済社会推進協会
プライバシーマーク推進センター プライバシーマーク事務局
電話 03-5860-7565

当協会以外の審査機関へ報告する場合は、各審査機関に報告方法及び報告書提出先等の詳細を確認してください。

審議結果の通知(報告書提出後)

報告された事故については、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知いたします。

主務大臣(経済産業省)への報告について

当協会は、認定個人情報保護団体として経済産業省の「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」に基づき、認定個人情報保護団体対象事業者については、主務大臣に代わり対象事業者の事故報告を受けつけております。

したがって、主務大臣が経済産業大臣であり、当協会認定個人情報保護団体対象事業者は、事故報告書(表紙の所定欄)に意思表示をすれば、当協会から経済産業大臣へ報告を行うことが可能です。

なお、機微にわたる個人データ、信用情報やクレジットカード情報等を含む個人データが漏えいし、二次被害が発生する可能性が高い場合等は、主務大臣に逐次速やかに報告することが、当該ガイドラインに定められておりますので、上記のような場合には、事業者より直接主務大臣に報告を行なってください。

報告書の取扱い

提出された事故報告書は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するためにプライバシーマーク事務局で利用します。また、概要作成や注意喚起の為に内容を利用することがあります。

報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、プライバシーマーク事務局並びに、更新申請先の審査機関にて情報を共有します。

事故の内容によっては、プライバシーマーク制度委員会での審議を経て決定する必要があることから、その場合には報告書の複写を委員会に提出することもありますが委員会終了後すべて回収しシュレッダーにて処分します。また、認定個人情報保護団体対象事業者の場合には、経済産業省への報告に利用します。

なお、事故報告書(原本)は、プライバシーマーク事務局で保管・管理します。

プライバシーマークについて