事故等の報告
2024年10月31日以降、事故等の報告は事故報告システムからご報告いただくことになりました。
※変更前のPDF形式で報告をいただいたものに対する、措置通知及び再発防止策の提出は従来通りの方法となります(新たに事故報告システムへのご登録等は不要です)。
不明な点等ございましたら、ご報告いただいた審査機関までお問い合わせください。
※上記のうち、JIPDECにご報告いただいた事故であって、再発防止策の実施状況等の報告を求められた場合は、こちらをご参照ください。
プライバシーマーク付与事業者の個人情報の取扱いにおける事故等の報告については、「プライバシーマーク付与に関する規約(PMK500)」において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。事故等が発生した場合は、下記に示すとおり、報告を行ってください。
-
プライバシーマーク付与に関する規約(PMK500)
( 運営要領ページへ)
1.事故等の定義
プライバシーマーク制度における事故等とは、「プライバシーマーク付与に関する規約(PMK500)」により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、同規約で示している次の事象のことをいいます。
①漏えい、 ②紛失、 ③滅失・き損、 ④改ざん、正確性の未確保、 ⑤不正・不適正取得、 ⑥目的外利用・提供、⑦不正利用、 ⑧開示等の求め等の拒否、 ⑨上記①~⑧のおそれ
プライバシーマーク制度において事故報告が必要な案件かどうかは、 「よくあるご質問:個人情報の取扱いにおける事故の報告>事故の該当性」をご覧ください。
2.事故報告の期限(速報・確報)
事故等が発生した場合には、原則として発覚日から30日(不正の目的をもって行われたおそれがある事故等の場合は60日)以内に、審査機関へ事故報告(「確報」)を行ってください。
速報が必要な事故等
次のいずれかに該当する事故等が発生した場合には、「速報」として発覚日から概ね3~5日以内に審査機関に事故報告を行ってください。
- 要配慮個人情報が含まれる事故等
- 不正に利用されることにより財産的被害が生じるおそれがある事故等
- 不正の目的をもって行われたおそれがある事故等
- 個人情報に係る本人の数が1,000人を超える事故等
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
特定個人情報(マイナンバー)に関する事故等
事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれており、次の事故等に該当する場合は、「速報」として発覚日から概ね3~5日以内に審査機関へ報告を行ってください。
- 情報提供ネットワークシステム等からの漏えい、滅失、き損
- 不特定多数の者に閲覧された
- 不正の目的による漏えい、滅失、き損
- 100人を超える場合
速報・確報の判断フロー
3.事故等の報告先と報告方法
事故等の報告先と報告方法は下表の通りです。
| 報告対象者 | 報告先 | 報告方法 |
|---|---|---|
| 1.付与事業者 | 付与適格決定を受けた審査機関及び付与機関(※1)(※2) | Pマークポータルサイト内の事故報告システムを通じてご報告ください。(※3) |
| 2.新規申請中の事業者 | 付与適格性審査の申請をしている審査機関及び付与機関 | 事故報告システムはご利用できませんので、JIPDECプライバシーマーク推進センターまでお問い合わせください。 |
| 3.新規申請を検討/予定している事業者 |
(※1) Pマークポータルサイト内の事故報告システムを通じてご報告いただくことで、付与適格決定を受けた審査機関及び付与機関に共有されます。(別途、付与機関へのご報告は不要です。)
(※2)事故等の処理(事故報告受付、事故評価、措置通知等)については、原則、事故報告先の審査機関が行います。
(※3)Pマークポータルサイト事故報告システムから報告する
事故報告の流れ
Pマークポータルサイトの事故報告システムより、事故報告に関する一連の手続き(事故報告、事故措置通知の受領、再発防止策の送付等)を行うことができます。事故報告システムは、以下にあるボタン「事故等の報告をする(Pマークポータルサイトのご案内)」からPマークポータルサイトにサインインしてご利用ください。
Pマークポータルサイトのアカウント
- アカウントは、付与事業者様には申請担当者様あてにメールでご連絡しております。ご不明な場合は、JIPDECまでお問い合わせください。
-
申請担当者様と事故報告担当者様が異なる場合は、以下の何れかの方法でご対応をお願いします。
- 申請担当者様(Pマークポータルサイトのアカウント保持者)が事故報告を代行いただく。
- 事故担当者様が必要に応じて以下のフォーマット「(ご参考)事故報告システムで求める事故報告の入力項目」に入力し、その内容を申請担当者様が事故報告システムに入力する等でご対応ください。(事故報告システムに直接インポートする機能はございませんので、お手数ですが、手動で転記してください。)
(ご参考)事故報告システムで求める事故報告の入力項目 (Word:71KB)
- 事故担当者様が必要に応じて以下のフォーマット「(ご参考)事故報告システムで求める事故報告の入力項目」に入力し、その内容を申請担当者様が事故報告システムに入力する等でご対応ください。(事故報告システムに直接インポートする機能はございませんので、お手数ですが、手動で転記してください。)
- 申請担当者様および事故報告担当者が含まれるメールアドレス(メーリングリスト)をご用意いただく。
- 申請担当者様のメールアドレスを変更する場合は、各審査機関へ変更報告を行ってください。
- 申請担当者様(Pマークポータルサイトのアカウント保持者)が事故報告を代行いただく。
Pマークポータルサイトサインイン後の事故報告システムへのアクセス方法
事故等の措置の通知
- 事故報告システムを通じて報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には事故報告システムを通じてその結果を通知します。
- 事故等の措置の通知において、再発防止策の実施状況等の報告を求められた場合は、措置通知の受領日より2か月以内にその実施状況等について、事故報告シス テムを通じて報告してください。
事故報告の取扱い
- 提出された事故報告は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するために利用します。また、注意喚起や集計等の為に内容を利用することがあります。
- 報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、JIPDECプライバシーマーク推進センター並びに、更新申請先の審査機関にて情報を共有します。
- JIPDEC認定個人情報保護団体対象事業者の場合には、認定個人情報保護団体事務局へ共有します。
- JIPDECは「プライバシーマーク付与に関する規約(PMK500)」に基づき、事故等の調査を実施している旨について公表することがあります。
4.事故等への対応について(動画)
プライバシーマーク付与事業者において事故等が発生した場合の対応については、以下をご覧ください。
-
事故発生時におけるプライバシーマーク付与事業者の対応の流れ(PDF:399KB)
(2023年5月1日更新)
※付与事業者の皆様におかれましては、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」内「J.4.4.2 緊急事態への準備」への対応のため、上記「事故等の定義」に則り、「漏えい、滅失、き損」の他、「改ざん、正確性の未確保」「不正・不適正取得」「目的外利用・提供」「不正利用」「開示等の求め等の拒否」(いずれも、おそれを含む)を事故報告の対象とし、文書化をおこなってください。また、同様に「報告の対象」「提出までの目安の日数」「報告先」等も含める必要があります。
-
動画:プライバシーマーク制度における事故対応について (55分37秒)
2022年3月17日公開(2022年3月23日微修正)
※本動画は2022年3月時点の内容になります。スライド27(49:04)の報告方法については、2024年10月31日より変更になりました。
個人情報保護委員会への報告について
2022年4月1日施行の改正個人情報保護法により、漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告が義務化されました。以下の個人情報保護委員会規則で定められた漏えい等が発生した場合は、個人情報保護委員会に「速報」及び「確報」として報告を行ってください。
また、特定個人情報(マイナンバー)に係る事故等についても、個人情報保護委員会への報告が必要です。
詳細は、個人情報保護員会WEBサイトをご参照ください。
-
個人情報保護委員会
(個人情報保護委員会ホームページ)
最終更新日
2024年11月25日
事故等の報告
