個人情報の取扱いに関する事故等の報告について
プライバシーマーク付与事業者の個人情報の取扱いにおける事故等の報告については、「プライバシーマーク付与に関する規約(PMK500)」において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。事故等が発生した場合は、下記に示すとおり、報告を行ってください。
プライバシーマーク付与に関する規約(PMK500) ( 運営要領ページへ)
事故報告の期限(速報・確報)
事故等が発生した場合には、原則として発覚日から30日(不正の目的をもって行われたおそれがある事故等の場合は60日)以内に、審査機関へ事故報告(「確報」)を行ってください。速報が必要な事故等
次のいずれかに該当する事故等が発生した場合には、「速報」として発覚日から概ね3~5日以内に審査機関に事故報告を行ってください。- 要配慮個人情報が含まれる事故等
- 不正に利用されることにより財産的被害が生じるおそれがある事故等
- 不正の目的をもって行われたおそれがある事故等
- 個人データに係る本人の数が1,000人を超える事故等
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
※いずれも事故等が発生したおそれがある事態も含める
特定個人情報(マイナンバー)に関する事故等
事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれており、次の事故等に該当する場合は、「速報」として発覚日から概ね3~5日以内に審査機関へ報告を行ってください。
- 情報提供ネットワークシステム等からの漏えい、滅失、き損
- 不特定多数の者に閲覧された
- 不正の目的による漏えい、滅失、き損
- 100人を超える場合
- 事故報告の流れ(297KB)
- 速報と確報の報告の流れ
速報・確報の判断フロー

報告先と様式・提出方法
報告対象者 | 報告先 |
---|---|
1.付与事業者 | 付与適格決定を受けた審査機関 (ただし、更新審査中の場合は、審査中事業者の例による。) |
2.審査中事業者 | 付与適格性審査の申請をしている審査機関 |
3.申請検討中事業者 | 付与適格性審査の申請を予定している審査機関 |
1JIPDEC以外の審査機関に報告する事業者
事故報告の様式・提出方法等の詳細については、各審査機関にご確認ください。
2JIPDECに報告する事業者
JIPDECへの報告様式・提出方法等は、次の「JIPDECへの事故等の報告」をご確認ください。
※2022年6月20日、事故報告書の様式を変更しました。
審議結果の通知(事故報告提出後)
報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知します。
事故報告書の取扱い
- 提出された事故報告書は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するために利用します。また、概要作成や注意喚起の為に内容を利用することがあります。
- 報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、JIPDECプライバシーマーク推進センター並びに、更新申請先の審査機関にて情報を共有します。
- JIPDEC認定個人情報保護団体対象事業者の場合には、認定個人情報保護団体事務局へ共有します。
- JIPDECは「プライバシーマーク付与に関する規約(PMK500)」に基づき、事故等の調査を実施している旨について公表することがあります。
事故等の定義
プライバシーマーク制度における事故等とは、「プライバシーマーク付与に関する規約(PMK500)」により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、同規約で示している次の事象のことをいいます。事故等への対応について(動画)
プライバシーマーク付与事業者において事故等が発生した場合の対応については、以下をご覧ください。- 事故発生時におけるプライバシーマーク付与事業者の対応の流れ(399KB:2023年5月1日更新)
プライバシーマーク制度における事故対応について (55分37秒) 2022年3月17日公開 (2022年3月23日微修正) |
個人情報保護委員会への報告について
2022年4月1日施行の改正個人情報保護法により、漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告が義務化されました。以下の個人情報保護委員会規則で定められた漏えい等が発生した場合は、個人情報保護委員会に「速報」及び「確報」として報告を行ってください。
また、特定個人情報(マイナンバー)に係る事故等についても、個人情報保護委員会への報告が必要です。
詳細は、個人情報保護員会WEBサイトをご参照ください。
個人情報保護委員会 (個人情報保護委員会ホームページ)