付与事業者: 15,515

よくあるご質問

TOP > よくあるご質問 > 11.個人情報の取扱いにおける事故の報告

11.個人情報の取扱いにおける事故の報告

1 「告示」や「Q&A」とは

1-1 個人情報保護委員会の「告示」とは何を指しますか。

「告示」⇒ 個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)

個人情報保護委員会:個人データの漏えい等の事案が発生した場合等の対応について

1-2 個人情報保護委員会の「Q&A」とは何を指しますか。

「Q&A」⇒ 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A

個人情報保護委員会:「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」

2 事故報告のルールに関するQ&A

2-1 プライバシーマーク制度における「事故」の定義を教えてください。

プライバシーマーク制度においては、「JIS規格への不適合により発生した個人情報の外部への漏えいその他本人の権利利益の侵害」を「個人情報の取扱いにおける事故等」と定義づけ、具体的には以下の事象に該当するものとしています。

① 漏えい ② 紛失 ③ 滅失・き損
④ 改ざん、正確性の未確保
⑤ 不正・不適正取得
⑥ 目的外利用・提供(ただし書きに該当する場合を除く)
⑦ 不正利用
⑧ 開示等の求め等の拒否(ただし書きに該当する場合を除く)
⑨ ①~⑧のおそれ

「告示」(1-1)において「漏えい等事案」の対象としていない事案であってもプライバシーマーク制度においては事故に該当するケースがあるので、ご注意ください。

(1-1)個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)(個人情報保護委員会)

2-2 プライバシーマーク制度においては、どういう事象を事故報告対象としていますか。

基本的には、1名分の個人情報の取扱いに係る事故より事故報告書提出対象としています。
「告示」(1-1)において「個人情報保護委員会等への報告を要しない」とされている事案であってもプライバシーマーク制度においては事故報告対象となることがありますので、ご注意ください。

(1-1)個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)(個人情報保護委員会)

2-3 プライバシーマーク付与事業者に対して、事故報告書提出を義務付けている目的は何ですか。

事業者において、事故の重大性を認識していただき、適正な改善策の策定と実施及び再発防止策等の徹底により、プライバシーマーク付与事業者にふさわしい個人情報保護体制を強化していただくことが主目的です。事業者にペナルティを課することが目的ではありません。

<付与事業者としては>

  • 社内の「個人情報保護マネジメントシステム(PMS)」の見直し・体制強化
  • 社内の個人情報保護レベルの維持・向上
  • 事故が発生した場合の事後対応に対する第三者からの信頼性確保

<プライバシーマーク制度としては>

  • 付与事業者の個人情報保護レベルの維持・向上
  • 付与事業者の状況を把握
  • 把握した事故状況を分析
  • 事業者への注意喚起
  • プライバシーマーク制度に対する信頼性の維持・向上

2-4 事故報告書提出義務付けの根拠は何ですか。

「プライバシーマーク付与に関する規約(PMK500)」第5章第11条において、規定するとともに、その適用についてプライバシーマーク付与契約事項としています。

(事故等の報告義務)第5章第11条第2項
付与事業者は、事故が発生した場合には、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」の定めるところにより、速やかに関係審査機関に報告しなければならない。

プライバシーマーク付与契約:第2条(規約の適用)
次に掲げるものはこの契約の一部となる
-プライバシーマーク付与に関する規約 第3章から第6章

プライバシーマーク付与に関する規約(PMK500)(運営要領ページへ)
プライバシーマーク制度における欠格事項及び判断基準(PMK510)(運営要領ページへ)

2-5 プライバシーマーク付与の審査中事業者や、申請検討中事業者で事故が発生した場合には、どうしたら良いですか。

審査中事業者に関しては、審査において再発防止策の確認等を行う必要もありますので、付与事業者に準ずる形で事故報告書提出を義務づけています。
申請検討中事業者に関しては、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」の以下の規定に該当するか否かの判断のために、事故報告書の提出をお勧めしています。
(PMK510の3.2.3)
個人情報の取扱いに関し、個人情報の外部への漏えい等の事故が発生したため、4.により申請を不可とする期間が決定され、その期間が経過していない事業者は、付与適格性審査の申請をすることができない。

プライバシーマーク制度における欠格事項及び判断基準(PMK510)(運営要領ページへ)

2-6 事故報告書の提出先はどこになりますか。

プライバシーマーク付与のための審査を行った(行っている、あるいは申請予定の)審査機関にご提出ください。
JIPDEC以外の審査機関に提出された事故報告書については、それぞれの機関の外部有識者を交えた委員会で欠格レベル判定・承認を受けた後、JIPDECに事故報告書写しと措置結果が提出されることになっています。

なお、認定個人情報保護団体(JIPDEC)対象事業者より提出された事故報告書のうち、自社にて直接、委員会その他(主務官庁)に事故報告を行っていない分については、原則、JIPDECより個人情報保護委員会に写しを提出いたします。

2-7 事故報告書の記入にあたり、関係する取引先の社名は記入しなければなりませんか。

関係する取引先が付与事業者であれば、事業者名を明記してください。非付与事業者であれば、事業者名は伏せていただいて結構です。

2-8 事故報告書の記入にあたり、関係する取引先が複数社あります。すべての事業者名を記入する必要がありますか。

付与事業者が含まれているのであれば、全ての関係する付与事業者名を明記してください。非付与事業者の事業者名は伏せていただいて結構です。なお、関係する取引先が全部で何社であったかは、記入してください。

2-9 事故報告書を提出すると、その後、どうなるのですか。

「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を踏まえて措置を決定し、事業者には文書で通知します。

プライバシーマーク制度における欠格事項及び判断基準(PMK510)(運営要領ページへ)

2-10 現在、更新審査中ですが、事故報告が審査に影響することはありますか。

「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を踏まえて措置を決定し、事業者には文書で通知します。欠格レベル7以下の場合は審査を続行します。ただし、事故原因となった不適合について、原則、是正措置の実施状況を確認いたします。

プライバシーマーク制度における欠格事項及び判断基準(PMK510)(運営要領ページへ)

2-11 事故報告はどのタイミングで行ったら良いですか。

事後対応が完了し、再発防止策が決定したところで、事故報告書をご提出ください。重大な事故(※)が発生した場合や、事故報告書提出までに時間がかかる可能性がある場合などは、電話等でのご一報をお願いします。
(※)・不正アクセス他による大量の個人情報の流出
    ・クレジットカード番号等を含む個人情報の流出 など

2-12 一定期間発生分をまとめて事故報告書を提出しても良いですか。

基本的には、発生の都度、事故報告書をご提出いただくことになります。
ただし、業種特有の事情等により、軽微な事故が発生しやすい状況にある場合など、一定期間分(原則、一か月分まで)をまとめてご提出いただくことも認めています。
事前に審査機関にご相談ください。

2-13 事故が発生した場合、個人情報保護委員会等への報告は必要ですか。
(*)事業者で発生した個人情報の取扱いにおける事故

「告示」(1-1)の「3.個人情報保護委員会等への報告」を参照し、ご対応ください。

(1-1)個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)(個人情報保護委員会)

2-14 審査機関(JIPDEC含む)に事故報告書を報告すると、そちらから個人情報保護委員会等へ報告してもらえるのですか。

プライバシーマーク付与事業者として審査機関にご提出いただいた事故報告書のうち、認定個人情報保護団体(JIPDEC)の対象事業者(*)分については、認定個人情報保護団体事務局を通して、個人情報保護委員会に報告いたします。
ただし、個人情報保護法第44条第1項に基づき法第40条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野におけるプライバシーマーク付与事業者の報告先については、個人情報保護委員会により別途公表されるところに従い、ご対応ください。

(*)認定個人情報保護団体対象事業者リスト

2-15 事故の対象となった本人への 連絡は必要ですか。

「告示」(1-1)の「2.漏えい等事案が発覚した場合に講ずべき措置」、および「Q&A」(1-2)の「5.個人データの漏えい等事案対応告示」を参考に、社内規程にも照らし合わせてご検討ください。

(1-1)個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)(個人情報保護委員会)
(1-2)「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(個人情報保護委員会)

2-16 事故が発生した場合、その事実を公表する必要はありますか。必要という場合、どのような方法をとれば良いですか。

「告示」(1-1)の「2.漏えい等事案が発覚した場合に講ずべき措置」、および「Q&A」(1-2)の「5.個人データの漏えい等事案対応告示」を参考に、社内規程にも照らし合わせてご検討ください。

(1-1)個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)(個人情報保護委員会)
(1-2)「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(個人情報保護委員会)

3 事故報告を要する具体例に関するQ&A

3-1 社員の個人情報が漏えい(紛失)しました。お客様の情報ではないので、事故報告は必要ないと考えてよいですか。

会社として、社員の個人情報も保護の対象であり、社員の個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。

3-2 社員が名刺入れを紛失しました。取引先社員等の名刺も入っていましたが、自宅等の連絡先ではありません。事故報告は必要ですか。

特定の個人が識別できる情報であれば、個人情報として保護すべきものと考えられます。それはプライベートに関する情報であっても、仕事関連の情報であっても同じです。
したがって、名刺の紛失に関しても事故報告書の提出は必要です。

3-3 メールアドレスのみが漏えいしました。 事故報告は必要ですか。

メールアドレスそのもので、個人が特定できる場合や、社内の情報と照合することにより個人が特定できる場合があります。また、個人の特定ができないまでも、本人にアクセス可能な情報になりますので、事故報告書の提出は必要です。

3-4 メールマガジン配信不要と登録している会員宛に、誤ってメールマガジンを送信してしまいました。これは事故報告が必要な案件ですか。

目的外利用に該当するため、事故報告書提出が必要です。
「JIS Q 15001要求事項」の規定に反する、又は反するおそれがある場合には、事故報告書の提出が必要です。

3-5 第三者のなりすましによる不正アクセスが発生し、個人情報が漏えいしました。事故報告は必要でしょうか。

「発生事実」に関して、事故報告書を提出してください。なお、報告書には、なりすましによる被害が発生した原因、再発防止策について記載をしてください。

3-6 書類を紛失しましたが、含まれていた情報は企業の代表者名のみです。事故報告書提出対象になりますか。

企業の代表者名など公開情報であっても個人情報となるため、事故報告書の提出は必要です。

3-7 1名分の氏名が漏えい(紛失)しただけなのですが、事故報告の必要はありますか。

たとえ1名分であっても、個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。

3-8 個人情報を保存したPCを社外で紛失しましたが、後日、発見されました。第三者に使用された形跡もありません。事故報告は必要ですか。

事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。

3-9 個人情報を保存したPCを社外で紛失しましたが、強固なセキュリティ措置を施しており、二次被害の可能性はありません。事故報告は必要ですか。

事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。

3-10 個人情報記載書類が紛失しました。誤廃棄(誤裁断、誤溶解)した可能性が高いのですが、事故報告は必要ですか。

事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
誤廃棄した可能性が高いと判断した場合には、その旨とそのように判断した根拠を記載してください。

3-11 委託先で個人情報に係る事故が発生しました。自社で発生したわけではないので、報告は必要ありませんか。

委託元には、委託先の個人情報の取扱いに対する監督責任があるため、委託先において事故が発生した場合にも、事故報告が必要です。

参考:個人情報保護法第22条(委託先の監督)
JIS Q 15001要求事項3.4.3.4(委託先の監督)

3-12 配送委託先で誤配達(紛失)が発生しましたが、事故報告は必要ですか。

基本的には、事故が発生した場合には、発生事実に対して事故報告書提出が必要と考えておりますが、配送委託先における事故に関しては、(別表)「配送委託先における事故に関する事故報告について」をご確認のうえ、事故報告をご検討ください。

4 事故報告が不要な具体例に関するQ&A

4-1 社員がカバンを紛失しました。中には本人の名刺、免許証、カード類は入っていましたが、本人以外の個人情報は入っていませんでした。事故報告は必要ですか。

紛失した本人の個人情報以外に一切入っていなかったということであれば、あくまでも本人の問題ということとなり、事故報告書の提出は必要ありません。

4-2 社員が入館証(セキュリティカード)を紛失しました。事故報告は必要ですか。

紛失した入館証(セキュリティカード)が社員本人のものであれば、事故報告書の提出は必要ありません。カギを紛失した場合と同様とお考えください。

4-3 個人情報記載書類が紛失したが、後日、社内で発見されました。事故報告は必要ですか。

書類の管理上の問題であり、事故報告書の提出は必要ありません。(ただし、書類の安全管理措置をきちんと行うよう、再発防止策を講じていただく必要はあります。)

4-4 委託元で個人情報に係る事故が発生しました。自社は委託先ではありますが、プライバシーマーク付与事業者として事故報告は必要ですか。

受託業務において事故が発生した場合に事故報告書提出が必要となります。
委託元の事故に関して、委託先事業者が事故報告書を提出する必要はありません。

4-5 当社の加盟店で事故が発生しましたが、事故報告書提出は必要ですか。

委託関係ではないので、個人情報保護法やJIS規格に則して考えた場合には、事故報告書の提出は必須(義務)ではありません。ただし、加盟店管理の観点から、自主的に提出されたものに関しては受領し、通常の事故報告と同様の取扱いをします。

5 配送委託先における事故に関する事故報告について

5-1 配送委託先で誤配達(紛失)が発生しましたが、事故報告は必要ですか。

基本的には、事故が発生した場合には、発生事実に対して事故報告書提出が必要と考えておりますが、配送委託先における事故に関しては、(別表)「配送委託先における事故に関する事故報告について」をご確認のうえ、事故報告をご検討ください。

(別表)配送委託先における事故に関する事故報告について

項番 配送物の内容 原因 委託元(配送元) 配送委託先 備考
事故報告の要・不要 事故報告の要・不要
1 配送物に宛名以外の個人情報なし 配送委託先のミスが原因 不要 不要 「告示」の「3.(2) 個人情報保護委員会への報告を要しない場合」の「荷物の誤配等のうち軽微なものの場合」と同様に不要。 
2 配送物に(個人情報あり) 配送委託先のミスが原因 必要 必要 事故報告「必要」とした分については、定期的(最大1か月)に原因別に数値及び配送手段(普通便・セキュリティ便等の区別)をまとめて報告を行う。
3 本人の住所変更手続漏れ等が原因 必要 不要
4 委託元の住所入力ミス等が原因 発生都度必要 不要
5 配送委託先の住所入力ミス等が原因* 発生都度必要 発生都度必要

*配送委託先に住所の入力・訂正等も委託

ページトップへ戻る