改正個人情報保護法:個人データの漏えい等の事案が発生した場合等の対応について(社内規程付)
2017/01/06
【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
既に公表済みの当職が作成した規程例を纏めて公表いたします。
下記リンク先も併せてご覧ください。
『改正個人情報対応規程集』
『改正個人情報保護法:個人情報保護指針・個人情報取扱規程など改正法に基づく規程をすべて公開!』
『改正個人情報保護法:中小規模事業者用の個人情報取扱規程・個人情報保護指針を公開』
『改正個人情報保護法:匿名加工情報等取扱規程など公開!』
『改正個人情報保護法:個人情報委託契約書の雛形を公開』
『改正個人情報保護法:個人情報の保護に係る委託契約書(外国にある第三者に提供する場合)の雛形を公表いたしました。』
個人データや匿名加工情報を作成する際の加工方法等情報が漏えいした場合の対応については、個人情報保護法ガイドライン(通則編)「4 漏えい等の事案が発生した場合等の対応」において、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」こととされているが、これを受けて「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年〇月〇日個人情報保護委員会規則第〇号)で定められています。
対応のための社内規程を作成しましたのでこちらもご覧ください。
情報漏えい事案等対応手続
1 対象とする事案
次の(1)から(3)までのいずれかに該当する事案(以下「漏えい等事案」といいます。)を対象とします。
(1) 個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失、毀損
(2) 個人情報取扱事業者が保有する匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号(特定個人情報に係るものを除く。)並びに個人情報保護法36条1項の規定により行った加工の方法に関する情報(以下「加工方法等情報」といいます。)の漏えい
(3) 上記(1)又は(2)のおそれ
2 漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等事案が発覚した場合は、次のアからカに掲げる事項について必要な措置を講ずることが望ましいとされています。
(1) 事業者内部における報告及び被害の拡大の防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
(2) 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3) 影響範囲の特定
上記(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
(5) 影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6) 事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。
3 個人情報保護委員会等への報告
個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、次のとおり速やかに報告するように努めることとされています。
(1) 報告の方法
原則として、個人情報保護委員会に報告します。ただし、認定個人情報保護団体の対象事業者である個人情報取扱事業者は、当該認定個人情報保護団体に報告します。
上記にかかわらず、保護法44条1項に基づき同法40条1項に規程する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野における個人情報取扱事業者の報告先は、別途公表するところによります。
(2) 報告を要しない場合(報告の軽微基準)
次の�@又は�Aのいずれかに該当する場合は、報告を要しません。この場合も、事実関係の調査及び原因の究明並びに再発防止策の検討及び実施をはじめとする上記2の各対応を実施することが望ましいです。
ア 実質的に外部に漏えいしていないと判断される場合
_なお、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」には、例えば、次のような場合が該当します。
・漏えい等の事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がなされている場合
・漏えい等の事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
・漏えい等の事案に係る個人データ又は加工方法等情報によって特定の個人を識別することが漏えい等の事案を生じた事業者以外ではできない場合(ただし、漏えい等の事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)
・個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい等の事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合
イ FAX・メールの誤送信又は荷物の誤配等のうち軽微なものの場合
なお、「軽微なもの」には、例えば、次のような場合が該当します。
・FAX若しくはメールの誤送信、又は荷物の誤配等のうち、宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合
_
4 個人データ等と特定個人情報が漏えいした場合の対応の比較
以下のとおり、個人データ等が漏えいした場合と特定個人情報が漏えいした場合の対応は異なります。
_
個人データ等
特定個人情報
根拠となる規則・告示
個人データの漏えい等の事案が発生した場合等の対応について(案)(平成29年個人情報保護委員会告示第〇号)
〇事業者における特定個人情報の漏えい事案等が発生した場合の対応について(平成27年特定個人情報保護委員会告示第2号)
〇 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則(特定個人情報保護委員会規則第5号)
対象事案
〇 _個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
〇 匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号(特定個人情報に係るものを除く。)並びに加工の方法に関する情報の漏えい
〇 これらのおそれ
【告示】⇒努力義務
〇 _特定個人情報の漏えい事案その他の番号法違反の事案
〇 番号法違反のおそれのある事案
【規則】⇒法的義務
〇 重大事態
�@情報提供ネットワークシステム等又は個人番号利用事務・個人番号関係事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態
�A漏えい等した特定個人情報に係る本人の数が100人を超える事態
�B特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ閲覧された事態
�C職員等が不正の目的をもって、特定個人情報を利用し、又は提供した事態
対応措置
いずれも努力義務
�@事業者内部における報告及び被害の拡大防止
�A事実関係の調査及び原因の究明
�B影響範囲の特定
�C再発防止策の検討及び実施
�D影響を受ける可能性のある本人への連絡等
�E事実関係及び再発防止策等の公表
�F個人情報保護委員会等への報告
�Fのうち重大事態の確報以外は努力義務
�@事業者内部における報告及び被害の拡大防止
�A事実関係の調査、原因究明
�B影響範囲の特定
�C再発防止策の検討・実施
�D影響を受ける可能性のある本人への連絡等
�E事実関係、再発防止策等の公表
�F個人情報保護委員会等への報告
報告先
〇 _原則、個人情報保護委員会に報告。
〇 認定個人情報保護団体の対象事業者は、当該認定個人情報保護団体に報告。
〇 個人情報保護委員会の権限が事業所管大臣に委任される分野の事業者の報告先は別途公表するところによる。
〇 重大事態以外の報告は事業所管の主務大臣及び個人情報保護委員会。
〇 重大事態の第一報は事業所管の主務大臣及び個人情報保護委員会。
〇 重大事態の確報は個人情報保護委員会
報告を要しない場合
�@実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合
〇 _ 漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
〇 漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
〇 漏えい等事案に係る個人データ又は加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)
〇 個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合
�AFAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合
〇 _ FAX 若しくはメールの誤送信、又は荷物の誤配等のうち、宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合
次の全てに当てはまる場合
�@影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
�A外部に漏えいしていないと判断される場合
�B事実関係の調査を了し、再発防止策を決定している場合
�C重大事態に該当しない場合
*********************
改正個人情報保護法につきましてご相談等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
_
