ホーム > よくある質問と回答 > FAQ:14.個人情報の取扱いにおける事故の報告について

FAQ:14.個人情報の取扱いにおける事故の報告について
(平成26年6月12日)

事故報告についての詳細は、こちらに記載しておりますので、ご確認ください。


よくある質問カテゴリー
14-1 事故報告のルールに関するQ&A
14-2 事故報告を要する具体例に関するQ&A
14-3 事故報告が不要な具体例に関するQ&A
別表 配送時の事故に関する事故報告について

14-1 事故報告のルールに関するQ&A

項番:区分
1:目的プライバシーマーク付与事業者に対して、事故報告書提出を義務付けている目的は何ですか。事業者において、事故の重大性を認識していただき、適正な改善策の策定と実施及び再発防止策等の徹底により、プライバシーマーク付与事業者にふさわしい個人情報保護体制を強化していただくことが主目的です。事業者にペナルティを課することが目的ではありません。
<付与事業者としては>
  • 社内の「個人情報保護マネジメントシステム(PMS)」の見直し・体制強化
  • 社内の個人情報保護レベルの維持・向上
  • 事故が発生した場合の事後対応に対する第三者からの信頼性確保
<プライバシーマーク制度としては>
  • 付与事業者の個人情報保護レベルの維持・向上
  • 付与事業者の状況を把握
  • 把握した事故状況を分析
  • 事業者への注意喚起
  • プライバシーマーク制度に対する信頼性の維持・向上
2:根拠 事故報告書提出義務付けの根拠は何ですか。 「プライバシーマーク付与に関する規約(PMK500)」第11条において、規定しています。
(事故等の報告義務)第11条第2項
付与事業者は、事故が発生した場合には、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」の定めるところにより、速やかに関係審査機関に報告しなければならない。
3:報告対象事業者 プライバシーマーク付与の審査中事業者や、申請検討中事業者で事故が発生した場合には、どうしたら良いですか。 審査中事業者に関しては、審査において再発防止策の確認等を行う必要もありますので、付与事業者に準ずる形で事故報告書提出を義務づけています。
申請検討中事業者に関しては、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」の以下の規定に該当するか否かの判断のために、事故報告書の提出をお勧めしています。
(同3.2.3)
個人情報の取扱いに関し、個人情報の外部への漏えい等の事故が発生したため、4.により申請を不可とする期間が決定され、その期間が経過していない事業者は、付与適格性審査の申請をすることができない。
4:報告書提出先 事故報告書の提出先はどこになりますか。 プライバシーマーク付与のための審査を行った(行っている、あるいは申請予定の)審査機関にご提出ください。
5:報告書の記入 事故報告書の記入にあたり、関係する取引先の社名は記入しなければなりませんか。 関係する取引先が付与事業者であれば、事業者名を明記してください。非付与事業者であれば、事業者名は伏せていただいて結構です。
6:報告書の記入 事故報告書の記入にあたり、関係する取引先が複数社あります。すべての事業者名を記入する必要がありますか。 付与事業者が含まれているのであれば、全ての関係する付与事業者名を明記してください。非付与事業者の事業者名は伏せていただいて結構です。なお、関係する取引先が全部で何社であったかは、記入してください。
7:措置等 事故報告書を提出すると、その後、どうなるのですか。 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を踏まえて措置を決定し、事業者には文書で通知します。
8:措置等 現在、更新審査中ですが、事故報告が審査に影響することはありますか。 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルの判定を行い、欠格レベル7以下の場合は審査を続行します。ただし、事故原因となった不適合について、是正措置の実施状況を確認いたします。
9:報告のタイミング 事故報告はどのタイミングで行ったら良いですか。 事後対応が完了し、再発防止策が決定したところで、事故報告書をご提出ください。事故報告書提出までに時間がかかる可能性がある場合などは、電話等でのご一報をお願いします。
10:報告のタイミング 一定期間発生分をまとめて事故報告書を提出しても良いですか。 基本的には、発生の都度、事故報告書をご提出いただくことになります。
ただし、業種特有の事情等により、小さな事故が発生しやすい状況にある場合など、一定期間分をまとめてご提出いただくことも認めています。
事前に審査機関にご相談ください。
11:主務大臣への報告 事故が発生した場合、主務大臣への報告は必要ですか。
(*)事業者で発生した個人情報の取扱いにおける事故
JIS Q 15001:2006の3.3.7「緊急事態への準備」に即した社内規程がどのようになっているかにもよりますが、基本的には事故発生時の主務大臣への報告は必要と考えます。ただし、省庁によって、報告を必要とする事故のレベルに若干の違いも見られるため、各省庁のガイドラインをご確認ください。迷う場合には、まず電話にて報告をされることをお勧めします。
12:主務大臣への報告 審査機関(JIPDEC含む)に事故報告書を報告すると、そちらから主務大臣へ報告してもらえるのですか。 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に基づき、以下の条件をすべて満たす付与事業者は、事故報告書表紙にその意思表示をすれば、JIPDECより、経済産業大臣への報告を行います。
●主務大臣が経済産業大臣である
●JIPDECの認定個人情報保護団体対象事業者(*)となるための同意手続を行っている。
(*)認定個人情報保護団体対象事業者リスト
13:本人への連絡 事故の対象となった本人への 連絡は必要ですか。 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(法第20条関連:組織的安全管理措置:「『事故又は違反への対処』を実践するために講じることが望まれる手法の例示」)を参考に、社内規程にも照らし合わせてご検討ください。
14:公表 事故が発生した場合、その事実を公表する必要はありますか。
必要という場合、どのような方法をとれば良いですか。
「個人情報の保護に関する法律についての経済産業分野を 対象とするガイドライン」(法第20条関連:組織的安全管理措置:「『事故又は違反への対処』を実践するために講じることが望まれる手法の例示」)を参考に、社内規程にも照らし合わせてご検討ください。

14-2 事故報告を要する具体例に関するQ&A

項番:区分
1:内容 社員の個人情報が漏えい(紛失)しました。お客様の情報ではないので、事故報告は必要ないと考えてよいですか。 会社として、社員の個人情報も保護の対象であり、社員の個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。
2:内容 社員が名刺入れを紛失しました。取引先社員等の名刺も入っていましたが、自宅等の連絡先ではありません。事故報告は必要ですか。 特定の個人が識別できる情報であれば、個人情報として保護すべきものと考えられます。それはプライベートに関する情報であっても、仕事関連の情報であっても同じです。
したがって、名刺の紛失に関しても事故報告書の提出は必要です。
3:内容 メールアドレスのみが漏えいしました。 事故報告は必要ですか。 メールアドレスによっては、個人が特定できる可能性もあります。また、個人の特定ができないまでも、本人にアクセス可能な情報になりますので、事故報告書の提出は必要です。
4:内容 メールマガジン配信不要と登録している会員宛に、誤ってメールマガジンを送信してしまいました。これは事故報告が必要な案件ですか。 目的外利用に該当するため、事故報告書提出が必要です。
個人情報保護法やJIS Q 15001:2006の規定に反する、又は反するおそれがある場合には、事故報告書の提出が必要です。
5:内容 第三者のなりすましによる不正アクセスが発生し、個人情報が漏えいしました。事故報告は必要でしょうか。 「発生事実」に関して、事故報告書を提出してください。なお、報告書には、なりすましによる被害が発生した原因、再発防止策について記載をしてください。
6:内容 書類を紛失しましたが、含まれていた情報は企業の代表者名のみです。事故報告書提出対象になりますか。 企業の代表者名など公開情報であっても個人情報となるため、事故報告書の提出は必要です。
7:数量 1名分の氏名が漏えい(紛失)しただけなのですが、事故報告の必要はありますか。 たとえ1名分であっても、個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。
8:状況 個人情報を保存したPCを社外で紛失しましたが、後日、発見されました。第三者に使用された形跡もありません。事故報告は必要ですか。 事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。
9:状況 個人情報を保存したPCを社外で紛失しましたが、強固なセキュリティ措置を施しており、二次被害の可能性はありません。事故報告は必要ですか。 事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。
10:状況 個人情報記載書類が紛失しました。誤廃棄(誤裁断、誤溶解)した可能性が高いのですが、事故報告は必要ですか。 事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。その際、誤廃棄した可能性が高いと判断した根拠の記載が必要であり、その内容(誤廃棄の確証の有無)によって二次被害の有無に関する、欠格レベル判定に差異が出てきます。
11:発生元 委託先で個人情報に係る事故が発生しました。自社で発生したわけではないので、報告は必要ありませんか。 委託元には、委託先の個人情報の取扱いに対する監督責任があるため、委託先において事故が発生した場合にも、事故報告が必要です。
参考:個人情報保護法第22条(委託先の監督)
   JIS Q 15001:2006 3.4.3.4(委託先の監督)
12:発生元 配送委託先で誤配達(紛失)が発生しましたが、事故報告は必要ですか。 基本的には、事故が発生した場合には、発生事実に対して事故報告書提出が必要と考えておりますが、配送委託先における事故に関しては、(別表)「配送時の事故に関する事故報告について」をご確認のうえ、事故報告をご検討ください。

14-3 事故報告が不要な具体例に関するQ&A

項番:区分
1:内容 社員がカバンを紛失しました。中には本人の名刺、免許証、カード類は入っていましたが、本人以外の個人情報は入っていませんでした。事故報告は必要ですか。 紛失した本人の個人情報以外に一切入っていなかったということであれば、あくまでも本人の問題ということとなり、事故報告書の提出は必要ありません。
2:内容 社員が入館証(セキュリティカード)を紛失しました。事故報告は必要ですか。 紛失した入館証(セキュリティカード)が社員本人のものであれば、事故報告書の提出は必要ありません。カギを紛失した場合と同様とお考えください。
3:状況 個人情報記載書類が紛失したが、後日、社内で発見されました。事故報告は必要ですか。 書類の管理上の問題であり、事故報告書の提出は必要ありません。(ただし、書類の安全管理措置をきちんと行うよう、再発防止策を講じていただく必要はあります。)
4:発生元 委託元で個人情報に係る事故が発生しました。自社は委託先ではありますが、プライバシーマーク認定事業者として事故報告は必要ですか。 委託元の事故に関して、委託先事業者が事故報告書を提出する必要はありません。
5:発生元 当社の加盟店で事故が発生しましたが、事故報告書提出は必要ですか。 委託関係ではないので、個人情報保護法やJIS規格に則して考えた場合には、事故報告書の提出は必須(義務)ではありません。ただし、加盟店管理の観点から、自主的に提出されたものに関しては受領し、通常の事故報告と同様の取扱いをします。

別表 配送時の事故に関する事故報告について

項番配送物の内容原因委託元(配送元)配送委託先備考
事故報告の要・不要事故報告の要・不要
1配送物に個人情報なし(宛名のみ)配送元(自社、配送委託先)のミスが原因不要不要METIガイドライン:法第20条(安全管理措置)の組織的安全管理措置の対応と同様に不要
2配送物に個人情報あり配送委託先のミスが原因必要必要事故報告「必要」とした分については、定期的(最大3ヶ月)に原因別に数値及び配送手段(普通便・セキュリティ便等の区別)をまとめて報告を行う
3本人の住所変更手続漏れ等が原因必要不要
4委託元の住所入力ミス等が原因発生都度必要不要
5配送委託先の住所入力ミス等が原因*発生都度必要発生都度必要

*配送委託先に住所の入力・訂正等も委託