ホーム > よくある質問と回答 > FAQ:個人情報の取扱いにおける事故等の報告について
FAQ:個人情報の取扱いにおける事故等の報告について
(平成21年9月3日)
15-1 事故報告等のルールに関するQ&A
15-1-1 区分:目的
プライバシーマーク付与事業者に対して、事故報告書提出を義務付けている目的は何ですか。
※ 事業者にペナルティを課することが目的ではなく、再発防止策等の徹底により、プライバシーマーク付与事業者にふさわしい個人情報保護体制を強化していただくことが主目的です。
<プライバシーマーク制度としては>
- 付与事業者の個人情報保護レベルの維持・向上
- 付与事業者の状況を把握
- 把握した事故状況を分析
- 事業者への注意喚起
- プライバシーマーク制度に対する信頼性の維持・向上
<付与事業者としては>
- 社内の「個人情報保護マネジメントシステム(PMS)」の見直し・体制強化
- 社内の個人情報保護レベルの維持・向上
- 事故等が発生した場合の事後対応に対する第三者からの信頼性確保
15-1-2 区分:根拠
事故報告書提出義務付けの根拠は何ですか。
「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)において、以下のように規定しています。
(事故の報告)第19条の2
プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関(*)に報告しなければならない。
(*) 財団法人日本情報処理開発協会(JIPDEC)を含む
15-1-3 区分:報告対象事業者
プライバシーマーク付与の審査中事業者や、申請検討中事業者で事故が発生した場合には、どうしたら良いですか。
- 審査中事業者に関しては、審査において再発防止策の確認等を行う必要もありますので、付与事業者に準ずる形で事故報告書提出を義務づけています。
- 申請検討中事業者に関しては、「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)の以下の規定に該当するか否かの判断のために、事故報告書の提出をお勧めしています。
(欠格条項)第8条(3)
個人情報の取扱いにおいて発生した個人情報の外部への漏えいその他本人の権利利益の侵害により、この要領に基づき別に定める基準により判断された申請を不可とする期間を経過していない事業者
15-1-4 区分:報告書提出先
事故報告書の提出先はどこになりますか。
プライバシーマーク付与のための審査を行った(行っている、あるいは申請予定の)指定機関にご提出ください。
15-1-5 区分:措置等
事故報告書を提出すると、その後、どうなるのですか。
「プライバシーマーク制度における欠格性の判断基準」(*)に基づいて、欠格レベルの判定を行い、外部有識者を交えた委員会の審議を踏まえて、措置決定・通知を行います。
(*)プライバシーマーク制度における欠格性の判断基準(PDF:154KB)
15-1-6 区分:発生元
委託先で個人情報に係る事故が発生しました。自社で発生したわけではないので、報告は必要ありませんか。
委託元には、委託先の個人情報の取扱いに対する監督責任があるため、委託先において事故が発生した場合にも、事故報告が必要です。
参考:個人情報保護法第22条(委託先の監督)
JISQ15001:2006 3.4.3.4(委託先の監督)
15-1-7 区分:発生元
配送委託先で誤配達(紛失)が発生しましたが、事故報告は必要ですか。
基本的には、事故が発生した場合には、発生事実に対して事故報告書提出が必要と考えておりますが、配送委託先における事故に関しては、(別表)「配送時の事故に関する事故報告について」をご確認のうえ、事故報告をご検討ください。
15-1-8 区分:発生元
委託元で個人情報に係る事故が発生しました。自社は委託先ではありますが、プライバシーマーク認定事業者として事故報告は必要ですか。
委託元の事故に関して、委託先事業者が事故報告書を提出する必要はありません。
15-1-9 区分:報告のタイミング
事故報告はどのタイミングで行ったら良いですか。
事後対応が完了し、再発防止策が決定したところで、事故報告書をご提出ください。事故報告書提出までに時間がかかる可能性がある場合などは、電話等でのご一報をお願いします。
15-1-10 区分:報告のタイミング
一定期間発生分をまとめて事故報告書を提出しても良いですか。
基本的には、発生の都度、事故報告書をご提出いただくことになります。
ただし、業種特有の事情等により、小さな事故が発生しやすい状況にある場合など、一定期間分をまとめてご提出いただくことも認めています。
事前に指定機関にご相談ください。
15-1-11 区分:主務大臣への報告
本事案(*)で主務大臣への報告は必要ですか。
(*)事業者で発生した個人情報の取扱いにおける事故
JISQ15001:2006の3.3.7「緊急事態への準備」に即した社内規程がどのようになっているかにもよりますが、基本的には事故発生時の主務大臣への報告は必要と考えます。ただし、省庁によって、報告を必要とする事故のレベルに若干の違いも見られるため、各省庁のガイドラインをご確認ください。迷う場合には、まず電話にて報告をされることをお勧めします。
15-1-12 区分:主務大臣への報告
プライバシーマークの指定機関(JIPDEC含む)に事故報告書を報告すると、そちらから主務大臣へ報告してもらえるのですか。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に基づき、以下の条件をすべて満たす付与事業者は、事故報告書表紙にその意思表示をすれば、JIPDECより、経済産業大臣への報告を行います。
- 主務大臣が経済産業大臣である
- JIPDECの認定個人情報保護団体対象事業者(*)となるための同意手続を行っている。
(*)対象事業者リスト
15-1-13 区分:本人への連絡
本事案で本人への 連絡は必要ですか。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(法第20条関連:組織的安全管理措置:「『事故又は違反への対処』を実践するために講じることが望まれる手法の例示」)を参考に、社内規程にも照らし合わせてご検討ください。
15-1-14 区分:公表
本事案で公表する必要はありますか。
必要という場合、どのような方法をとれば良いですか。
「個人情報の保護に関する法律についての経済産業分野を 対象とするガイドライン」(法第20条関連:組織的安全管理措置:「『事故又は違反への対処』を実践するために講じることが望まれる手法の例示」)を参考に、社内規程にも照らし合わせてご検討ください。
15-2 事故報告の具体例に関するQ&A
15-2-1 区分:内容
社員の個人情報が漏えい(紛失)しました。お客様の情報ではないので、事故報告は必要ないと考えてよいですか。
会社として、社員の個人情報も保護の対象であり、社員の個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。
15-2-2 区分:内容
社員が名刺入れを紛失しました。取引先社員等の名刺も入っていましたが、自宅等の連絡先ではありません。事故報告は必要ですか。
特定の個人が識別できる情報であれば、個人情報として保護すべきものと考えられます。それはプライベートに関する情報であっても、仕事関連の情報であっても同じです。
したがって、名刺の紛失に関しても事故報告書の提出は必要です。
15-2-3 区分:内容
社員がカバンを紛失しました。中には本人の名刺、免許証、カード類は入っていましたが、本人以外の個人情報は入っていませんでした。事故報告は必要ですか。
紛失した本人の個人情報以外に一切入っていなかったということであれば、あくまでも本人の問題ということとなり、事故報告書の提出は必要ありません。
15-2-4 区分:内容
メールアドレスのみが漏えいしました。 事故報告は必要ですか。
メールアドレスによっては、個人が特定できる可能性もあります。また、個人の特定ができないまでも、本人にアクセス可能な情報になりますので、事故報告書の提出は必要です。
15-2-5 区分:内容
メールマガジン配信不要と登録している会員宛に、誤ってメールマガジンを送信してしまいました。これは事故報告が必要な案件ですか。
目的外利用に該当するため、事故報告書提出が必要です。
個人情報保護法やJISQ15001:2006の規定に反する、又は反するおそれがある場合には、事故報告書の提出が必要です。
15-2-6 区分:数量
1名分の氏名が漏えい(紛失)しただけなのですが、事故報告の必要はありますか。
たとえ1名分であっても、個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。
15-2-7 区分:状況
個人情報を保存したPCを社外で紛失しましたが、後日、発見されました。第三者に使用された形跡もありません。事故報告は必要ですか。
事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。
15-2-8 区分:状況
個人情報を保存したPCを社外で紛失しましたが、強固なセキュリティ措置を施しており、二次被害の可能性はありません。事故報告は必要ですか。
事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。
15-2-9 区分:状況
個人情報記載書類が紛失したが、後日、社内で発見されました。事故報告は必要ですか。
書類の管理上の問題であり、事故報告書の提出は必要ありません。
(ただし、書類の安全管理措置をきちんと行うよう、再発防止策を講じていただく必要はあります。)
15-2-10 区分:状況
個人情報記載書類が紛失しました。誤廃棄(誤裁断、誤溶解)した可能性が高いのですが、事故報告は必要ですか。
事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。その際、誤廃棄した可能性が高いと判断した根拠の記載が必要であり、その内容(誤廃棄の確証の有無)によって二次被害の有無に関する、欠格レベル判定に差異が出てきます。
別表 配送時の事故に関する事故報告について
| 項番 | 配送物の内容 | 原因 | 委託元(配送元) | 配送委託先 | 備考 |
|---|---|---|---|---|---|
| 事故報告の要・不要 | 事故報告の要・不要 | ||||
| 1 | 配送物に個人情報なし(宛名のみ) | 配送元(自社、配送委託先)のミスが原因 | 不要 | 不要 | METIガイドライン:法第20条(安全管理措置)の組織的安全管理措置の対応と同様に不要 |
| 2 | 配送物に個人情報あり | 配送委託先のミスが原因 | 必要 | 必要 | 事故報告「必要」とした分については、定期的(最大3ヶ月)に原因別に数値及び配送手段(普通便・セキュリティ便等の区別)をまとめて報告を行う |
| 3 | 本人の住所変更手続漏れ等が原因 | 必要 | 不要 | ||
| 4 | 委託元の住所入力ミス等が原因 | 発生都度必要 | 不要 | ||
| 5 | 配送委託先の住所入力ミス等が原因* | 発生都度必要 | 発生都度必要 |