付与事業者: 15,506

制度案内

TOP > 制度案内 > 個人情報の取扱いに関する事故の報告について

個人情報の取扱いに関する事故の報告について

プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第5章第11条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。
提出された事故報告書については、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルを判断し、外部有識者を交えた委員会の審議を踏まえて、最終的な措置を行っています。また、審査中及び申請検討中事業者からの事故報告についても、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づき運用しています。

なお、事故の報告は、事故を起こした事業者への制裁を目的にしているものではなく、当該事業者において、事故の重大さを認識していただき、適正な改善策の策定と実施及び再発防止を徹底することにより、個人情報保護体制をさらに強化していただくことを目的としているものです。さらに、事故の集計・分析、及びその結果に係る注意喚起・情報提供を通じて、プライバシーマーク制度に対する信頼性の維持・向上、ひいては付与事業者の消費者・取引先からの信頼性の向上につなげることも目的としております。

したがって、事故が発生した場合は、下記に示すとおり、報告を行ってください。

プライバシーマーク制度における事故の定義

プライバシーマーク制度における事故とは、「プライバシーマーク付与に関する規約(PMK500)」の第5章第11条により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」の『4.個人情報の取扱いに関する事故についての判断基準』で示している次の事象のことをいいます。

①漏えい、  ②紛失、  ③滅失・き損、  ④改ざん、正確性の未確保、  ⑤不正・不適正取得、  ⑥目的外利用・提供、⑦不正利用、  ⑧開示等の求め等の拒否、  ⑨上記①~⑧のおそれ

プライバシーマーク制度において事故報告が必要な案件かどうかは、 「よくあるご質問:11.個人情報の取扱いにおける事故の報告」を参照してください。

プライバシーマーク付与に関する規約(PMK500) (運営要領ページへ)

プライバシーマーク制度における欠格事項及び判断基準(PMK510) (運営要領ページへ)

よくあるご質問:11.個人情報の取扱いにおける事故の報告

報告対象事業者

報告対象事業者は次のとおりです。

  1. プライバシーマーク付与事業者(付与事業者)
  2. プライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
  3. プライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)

事故の報告先

報告先は、次のとおりです。

報告対象者 報告先
1.付与事業者 付与適格決定を受けた審査機関
(ただし、更新審査中の場合は、審査中事業者の例による。)
2.審査中事業者 付与適格性審査の申請をしている審査機関
3.申請検討中事業者 付与適格性審査の申請を予定している審査機関

1JIPDEC以外の審査機関へ報告する場合

各審査機関に報告方法および報告書の提出先等の詳細をご確認ください。

プライバシーマーク指定審査機関一覧

2JIPDECへ報告する場合

報告の内容(様式)

JIPDECへ報告する場合は、下記の報告書様式「1.表紙」及び「2.本文」を併せて提出してください。
なお、「1.表紙」では代表者印もしくは個人情報保護管理者印の押印漏れがないよう、また、「2.本文」では各項目に係るチェック印(■)漏れ・記入漏れがないようにお願いします。
報告書提出のタイミングは、事後対応が完了し、再発防止策が決定したところとお考えください。
重大な事故が発生した場合や、提出までに時間がかかる可能性がある場合は、電話等での一報をお願いします。

様式は、「各種様式ダウンロード」ページよりダウンロードしてください。

各種様式ダウンロード

1.表紙 「個人情報の取扱いに関する事故等の報告書」
2.本文 「個人情報の取扱いに関する事故等の報告書」(様式1)(各種様式DLページへ)
記入上の注意事項 記入上の注意事項(各種様式DLページへ)

※更新審査中の事業者は、付与事業者用(様式2)を使用してください。

報告書の送付先

郵送等の際は、書留等配達記録が残るものでお願いします。

住所 〒106-0032 東京都港区六本木一丁目9番9号 六本木ファーストビル内
宛先 一般財団法人日本情報経済社会推進協会
プライバシーマーク推進センター 事故報告担当
電話 03-5860-7565

審議結果の通知(報告書提出後)

報告された事故については、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知いたします。

個人情報保護委員会への報告について

当協会は、認定個人情報保護団体として「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」に基づき、認定個人情報保護団体(JIPDEC)対象事業者の事故報告については、認定個人情報保護団体事務局を通して、個人情報保護委員会に報告いたします。

ただし、個人情報保護法第44条第1項に基づき法第40条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野の事業者においては、個人情報保護委員会の公表にするところに従って、対応してください。

認定個人情報保護団体

「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」(個人情報保護委員会ホームページ)

「改正個人情報保護法に基づく権限の委任を行う業種等及び府省庁並びに当該業種等における漏えい等事案発生時の報告先」(個人情報保護委員会ホームページ)

報告書の取扱い

提出された事故報告書は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するためにプライバシーマーク推進センターで利用します。また、概要作成や注意喚起の為に内容を利用することがあります。

報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、プライバシーマーク推進センター並びに、更新申請先の審査機関にて情報を共有します。

事故の内容によっては、プライバシーマーク制度委員会での審議を経て決定する必要があることから、その場合には報告書の複写を委員会に提出することもありますが委員会終了後すべて回収しシュレッダーにて処分します。また、認定個人情報保護団体対象事業者の場合には、個人情報保護委員会への報告に利用します。

なお、事故報告書(原本)は、プライバシーマーク推進センターで保管・管理します。

ページトップへ戻る