11.個人情報の取扱いにおける事故等の報告
1 事故報告のルールに関するQ&A
1-1 プライバシーマーク制度における「事故」の定義を教えてください。
プライバシーマーク制度においては、「プライバシーマークにおける個人情報保護マネジメント構築・運用指針」への不適合により発生した個人情報の外部への漏えいその他本人の権利利益の侵害を「個人情報の取扱いにおける事故等」と定義づけ、具体的には以下の事象に該当するものとしています。
① 漏えい ② 紛失 ③ 滅失・き損
④ 改ざん、正確性の未確保
⑤ 不正・不適正取得
⑥ 目的外利用・提供(ただし書きに該当する場合を除く)
⑦ 不正利用
⑧ 開示等の求め等の拒否(ただし書きに該当する場合を除く)
⑨ ①~⑧のおそれ
なお、1名分の個人情報の取扱いに係る事故等であっても事故報告書提出対象となります。
1-2 プライバシーマーク付与事業者に対して、事故報告書提出を義務付けている目的は何ですか。
事業者において、事故の重大性を認識していただき、適正な改善策の策定と実施及び再発防止策等の徹底により、プライバシーマーク付与事業者にふさわしい個人情報保護体制を強化していただくことが主目的です。事業者にペナルティを課することが目的ではありません。
<付与事業者としては>
- 社内の「個人情報保護マネジメントシステム(PMS)」の見直し・体制強化
- 社内の個人情報保護レベルの維持・向上
- 事故が発生した場合の事後対応に対する第三者からの信頼性確保
<プライバシーマーク制度としては>
- 付与事業者の個人情報保護レベルの維持・向上
- 付与事業者の状況を把握
- 把握した事故状況を分析
- 事業者への注意喚起
- プライバシーマーク制度に対する信頼性の維持・向上
1-3 事故報告書提出義務付けの根拠は何ですか。
「プライバシーマーク付与に関する規約(PMK500)」(事故等の報告義務)において、規定するとともに、その適用についてプライバシーマーク付与契約事項としています。
プライバシーマーク付与に関する規約(PMK500)(運営要領ページへ)
1-4 プライバシーマーク付与の審査中事業者や、申請検討中事業者で事故が発生した場合には、どうしたら良いですか。
審査中事業者に関しては、審査において再発防止策の確認等を行う必要もありますので、付与事業者に準ずる形で事故報告書提出を義務づけています。
申請検討中事業者に関しては、「プライバシーマーク付与適格性審査の実施基準(PMK220)」の申請不可期間の規定に該当するか否かの判断のために、事故報告書の提出をお願いしています。
プライバシーマーク付与適格性審査の実施基準(PMK220)(運営要領ページへ)
1-5 事故報告書の提出先はどこになりますか。
プライバシーマーク付与のための審査を行った(行っている、あるいは申請予定の)審査機関にご提出ください。
1-6 事故報告書の記入にあたり、関係する取引先の社名は記入しなければなりませんか。
関係する取引先が付与事業者であれば、事業者名を明記してください。非付与事業者であれば、事業者名は伏せていただいて結構です。
1-7 事故報告書の記入にあたり、関係する取引先が複数社あります。すべての事業者名を記入する必要がありますか。
付与事業者が含まれているのであれば、全ての関係する付与事業者名を明記してください。非付与事業者の事業者名は伏せていただいて結構です。なお、関係する取引先が全部で何社であったかは、記入してください。
1-8 事故報告書を提出すると、その後、どうなるのですか。
「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を踏まえて措置を決定し、事業者には文書で通知します。
プライバシーマーク付与に関する規約(PMK500)(運営要領ページへ)
1-9 事故報告はどのタイミングで行ったら良いですか。
事故等が発覚した日から30日以内に報告をしてください。なお、速報の対象となる事故等(※)については、おおむね3~5日以内に速報として報告を行ってください。
※ 速報が必要な事故等
①要配慮個人情報が含まれる事故等、②財産的被害が生じるおそれがある事故等、③不正の目的をもって行われたおそれがある事故等、④1,000人を超える事故等、⑤付与機関が重大な違反のおそれがあると認めた事態
1-10 事故の対象となった本人への 連絡は必要ですか。
速やかに以下の内容を本人に連絡してください。
・連絡する内容:事故等の概要、個人情報の項目、事故等の原因、二次被害の有無など。
1-11 事故が発生した場合、その事実を公表する必要はありますか。必要という場合、どのような方法をとれば良いですか。
二次被害の防止、類似事案の発生回避などの観点から、事実関係、発生原因、対応策等を原則、公表してください。ただし、影響あるすべての本人へ連絡が出来た場合は除きます。
方法としては、自社のホームページ、店舗や事務所などが考えられます。
2 事故報告を要する具体例に関するQ&A
2-1 社員の個人情報が漏えい(紛失)しました。お客様の情報ではないので、事故報告は必要ないと考えてよいですか。
会社として、社員の個人情報も保護の対象であり、社員の個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。
2-2 社員が名刺入れを紛失しました。取引先社員等の名刺も入っていましたが、自宅等の連絡先ではありません。事故報告は必要ですか。
特定の個人が識別できる情報であれば、個人情報として保護すべきものと考えられます。それはプライベートに関する情報であっても、仕事関連の情報であっても同じです。
したがって、名刺の紛失に関しても事故報告書の提出は必要です。
2-3 メールアドレスのみが漏えいしました。 事故報告は必要ですか。
メールアドレスそのもので、個人が特定できる場合や、社内の情報と照合することにより個人が特定できる場合があります。また、個人の特定ができないまでも、本人に連絡又は接触可能な情報になりますので、事故報告書の提出は必要です。
2-4 メールマガジン配信不要と登録している会員宛に、誤ってメールマガジンを送信してしまいました。これは事故報告が必要な案件ですか。
目的外利用に該当するため、事故報告書提出が必要です。
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に反する場合には、事故報告書の提出が必要です。
2-5 第三者のなりすましによる不正アクセスが発生し、個人情報が漏えいしました。事故報告は必要でしょうか。
不正アクセスによる個人情報の漏えい事故については、速報として概ね3~5日以内に審査機関へ報告をしてください。
2-6 書類を紛失しましたが、含まれていた情報は企業の代表者名のみです。事故報告書提出対象になりますか。
企業の代表者名など公開情報であっても個人情報となるため、事故報告書の提出は必要です。
2-7 1名分の氏名が漏えい(紛失)しただけなのですが、事故報告の必要はありますか。
たとえ1名分であっても、個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。
2-8 個人情報を保存したPCを社外で紛失しましたが、後日、発見されました。第三者に使用された形跡もありません。事故報告は必要ですか。
事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。
2-9 個人情報を保存したPCを社外で紛失しましたが、強固なセキュリティ措置を施しており、二次被害の可能性はありません。事故報告は必要ですか。
事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
二次被害の有無に関しては、欠格レベル判定時に反映されることとなります。
2-10 個人情報記載書類が紛失しました。誤廃棄(誤裁断、誤溶解)した可能性が高いのですが、事故報告は必要ですか。
事故が発生した場合には、発生事実に対して事故報告書提出が必要となります。
誤廃棄した可能性が高いと判断した場合には、その旨とそのように判断した根拠を記載してください。
2-11 委託先で個人情報に係る事故が発生しました。自社で発生したわけではないので、報告は必要ありませんか。
委託元には、委託先の個人情報の取扱いに対する監督責任があるため、委託先において事故が発生した場合にも、事故報告が必要です。
参考:個人情報保護法第25条(委託先の監督)
構築・運用指針「J.9.4 委託先の監督」
3 配送委託先における事故に関する事故報告について
3-1 配送委託先で誤配達(紛失)が発生しましたが、事故報告は必要ですか。
宛名、配送物に個人情報が含まれている場合は、事故報告が必要です。事故が発覚した日から原則として30日以内に審査機関へ事故報告書を提出してください。
様式など詳細は、以下のページをご確認ください。