企業の皆様の運営上の様々な法律問題について弁護士がサポートいたします。顧問弁護士をお探しなら、ホライズンパートナーズ法律事務所まで

契約書・労務問題・債権回収等の中小企業の法律相談はこちら
 東京の弁護士による企業法律相談  

港区西新橋1-6-13 柏屋ビル9階 ホライズンパートナーズ法律事務所



アクセス

 

新橋駅 徒歩8分
虎ノ門駅 徒歩3分
内幸町関 徒歩3分
霞ヶ関駅 徒歩4分
虎ノ門ヒルズ駅 徒歩7分

受付時間

平日 9:30~20:00

お気軽にお問合せください

03-6206-1078

▶ メールでのお問合せはこちら

事業者における特定個人情報の漏えい事案等が発生した場合の対応について

 特定個人情報は、個人番号(マイナンバー)をその内容に含む個人情報です。個人番号と紐付いた個人情報であるため、漏えい等による人権侵害を防止するため、マイナンバー法により、その取扱いには厳格な規制が定められ、個人番号を扱う者には特定個人情報の漏えい等を防止するための安全管理措置を講ずる義務が課されています。
 義務違反は特定個人情報保護委員会による監視・監督の対象となります。 そして、特定個人情報の規制や安全管理措置の解釈指針として、特定個人情報保護委員会より、「特定個人情報の適正な取扱いに関するガイドライン」が公表されています。
 

2015725日に、特定個人情報保護委員会が「事業者における特定個人情報の漏えい事案等が発生した場合の対応について(案)」を公表するとともに、意見募集(パブリックコメント)を始めました(受付締切は同年824日)。

「事業者における特定個人情報の漏えい事案等が発生した場合の対応について(案)」やパブリックコメントの詳細は、電子政府のサイトに掲載されています

  • 同案は、特定個人情報保護委員会が昨年12月に公表した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」中に掲載されている「特定個人情報の漏えい事案等が発生した場合の 対応」において、特定個人情報の漏えい事案等が発生した場合の対応については、別に定める」に基づくものです。
  • 同案に記載されている対応(1.)そのものは、「個人情報取扱事業者」(個人情報保護法の適用対象事業者)にとっては、これまでの対応を大きく変更しなければならないという内容ではありませんが、「報告」(2.)については、目新しい内容となっています。社内規程の整備等、特に組織的安全措置の構築にあたって参考になるものです。

長いものではないので、同案の全文を以下に引用します。

事業者における特定個人情報の漏えい事案等が発生した場合の対応について(案)

1.事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号 法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。

(1) 事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。

(2) 事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。

(3) 影響範囲の特定
(2)で把握した事実関係による影響の範囲を特定する。

(4) 再発防止策の検討・実施
(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。

(5) 影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り 得る状態に置く。

(6) 事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。

2.事業者は、その取り扱う特定個人情報に関する番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等に ついて、次のとおり報告するよう努める。

(1) 報告の方法

ア 個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等に おいて報告対象となる事案の場合

事業者が個人情報取扱事業者(注1)に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告する。この場合、報告を受けた主務大臣等(注2)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた「個人情報の保護に関する法律」 (平成 15 年法律第 57号。以下「個人情報保護法」という。)第37条第1項に規定する認定個人情報保護団体は、特定個人情報保護委員会 にその旨通知する。
なお、これらの場合、主務大臣等の求めにより個人情報取扱事業者が 直接特定個人情報保護委員会へ報告しても差し支えない。

 (注1)個人情報取扱事業者以外の事業者が主務大臣のガイドライン 等の規定に従う場合には、当該事業者を含む。

(注2)主務大臣のガイドライン等に報告先として規定されている個人情報保護法第 51 条、「個人情報の保護に関する法律施行令」(平成15年政令第 507 号)第 11 条の規定により事務を処理する地方公共団体の長等を含む。

イ 個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合

特定個人情報保護委員会に報告する。

ウ その他、個人番号の利用制限違反など番号法固有の規定に関する事案等の場合

特定個人情報保護委員会に報告する。

 

(2) 報告の時期

ア 速やかに報告するよう努める。

イ アにかかわらず、特定個人情報に関する重大事案(注)又はそのおそれ がある事案が発覚した時点で、直ちにその旨を特定個人情報保護委員会 に報告する。

(注) 「重大事案」とは、①情報提供等事務を実施する者の情報提供ネ ットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)、②事案における特定個人情報の本人の数が 101 人以上である場合、③不特定多数の人が閲覧できる状態になった場合、④従業員等が不正に持ち出したり 利用したりした場合、⑤その他事業者において重大事案と判断され る場合を指す。

 

(3) 特定個人情報保護委員会への報告を要しない場合

 個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場 合は、特定個人情報保護委員会への報告を要しない。

①影響を受ける可能性のある本人全てに連絡した場合
②外部に漏えいしていないと判断される場合
③従業員等が不正に持ち出したり利用したりした事案ではない場合
④事実関係の調査を了し、再発防止策を決定している場合
⑤事案における特定個人情報の本人の数が 100 人以下の場合

※なお、独立行政法人等及び地方公共団体等については、「独立行政法人等及び地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応について(案)」に関する意見募集(パブリックコメント)【⇒詳しくはこちらが行われています

更新日:2015年7月30

お電話でのご予約はこちら

03-6206-1078

受付時間:9:30~20:00(土日祝を除く)

企業運営にかかわるニュースや事例を弁護士の視点から解説するメルマガです

バックナンバーをみる

Horizon
労働問題FORUM

定期的な小規模勉強会とセミナーを開催しています。

ホライズンパートナーズ法律事務所

03-6206-1078

平日9:30~20:00まで受付