マイベストプロ東京
  1. マイナンバーを含む特定個人情報が漏洩した場合の対応
金子清隆

ITの有効活用・コスト見直しに強いコンサルタント

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

お電話での
お問い合わせ
03-6869-8336

コラム

マイナンバーを含む特定個人情報が漏洩した場合の対応

2015年12月28日 公開 / 2016年10月28日更新

テーマ:マイナンバー制度

番号法の施行が目前となった先週のこと、特定個人情報保護委員会より、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)が制定され、発表されました。併せて、行政機関、独立行政法人等及び地方公共団体等、事業者のそれぞれでの対応内容について更改されました。
基本的には1月以降、特定個人情報保護委員会が個人情報保護委員会となることへの対応ですが、若干内容の変更もあります。今回は、このうち「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」の内容について確認します。

特定個人情報の漏えい等が発覚した場合に事業者が講じるべき措置

事業者が取り扱うマイナンバーを含む特定個人情報が漏洩、または番号法違反が発覚、またはその恐れがある場合は、以下の措置を行うことが望まれています。なお、事業者が個人番号関係事務を委託した外部業者についても含まれます。

(1)事業者内部における報告、被害の拡大防止
個人番号関係事務の責任者等に直ちに報告するともに、被害拡大を防止する措置を実施。

(2)事実関係の調査、原因の究明
事実関係を調査し、原因の究明を行う。

(3)影響範囲の特定
特定個人情報の漏えい等による影響や二次被害の可能性等について評価する。

(4)再発防止策の検討・実施
特定した原因を踏まえた再発防止策を講じた上で、速やかに実施する。

(5)影響を受ける可能性のある本人への連絡等
漏えい等の事実関係について、速やかに本人へ連絡、または本人が容易に知り得る状態に置く。

(6)事実関係、再発防止策等の公表
発生した問題の内容に応じて、二次被害の防止や類似の問題の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。

事業者はどこに報告するのか?

それでは、事業者の報告先はどこ(誰)になるのでしょうか。これは事業者が現行の個人情報保護法における個人情報取扱事業者なのかどうかで変わってきます。なぜならば、現行の個人情報保護法における個人情報として、従業員情報も含まれるからです。

事業者が個人情報取扱事業者の場合、主務大臣へ報告します。(主務大臣のガイドライン等により報告先が異なる場合もありえます)つまり、特定個人情報についても現行の個人情報保護法と同様の扱いとなります。なお、主務大臣の求めにより、個人情報保護委員会に報告しても差し支えない、とされています。ここで「現行の個人情報保護法」と述べたのは、改正された個人情報保護法では現状各省で作成されているガイドラインが個人情報保護委員会で一本化される予定のため、報告ルートも変更される可能性があるからです。

一方、事業者が個人情報取扱事業者でない、または主務大臣が明らかでない/特定できない場合は個人情報保護委員会に報告します。

個人情報保護委員会への報告を要しないケース

個人情報取扱事業者でない事業者の場合、以下の「すべての条件」を満たす場合は、個人情報保護委員会に報告しなくても良いとされています。
1.影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
2.外部に漏えいしていないと判断される場合
3.事実関係の調査を終了し、再発防止策が決定されている場合
4.「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」第2条に規定する「重大事態」に該当しない場合

なお、この「重大事態」とは、以下のように定義されています。
1)情報提供ネットワークシステム又は個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合
2)漏えい等した特定個人情報の本人の数が101人以上である場合
3)インターネット等で不特定多数の人が閲覧できる状態となった場合
4)職員等(従業員等)が不正の目的で利用し、又は提供した場合

逆に言えば、「重大事態」、またはその恐れのある問題については、必ず報告する必要があるということになります。

報告手段は?

個人情報保護委員会への報告手段については、以下のように規定されています。
・「重大事態」、またはその恐れがある場合はFAX
・その他の場合は、郵送
報告用のフォームは特定個人情報委員会のホームページに掲載されています。(末尾のリンクを参照ください)
なお、個人情報取扱事業者が主務大臣へ報告する場合は、該当する省庁のガイドラインを参照ください。

最後に

マイナンバー制度の対応で、漏えいしないように、という議論は色々なところでされていますが、漏えいしたら、という話はあまり聞かないような気がします。「もし...」の世界ではありますが、報告の遅れや報告しない、という行為は後々の指導や罰則に影響する可能性もあるので、きちんと準備をすることをお勧めします。
マイナンバー制度の施行後しばらくは混乱が続くことが想定されます。デルタエッジコンサルタントではマイナンバー制度に関する日常の相談等に対応するサービスを提供しております。ご関心のある方はご連絡ください。

参考情報
特定個人情報委員会、「特定個人情報の漏えい事案等が発生した場合の対応について

デルタエッジコンサルタントでは、マイナンバー制度で運用上発生する様々な事象や、逐次発生する制度改正への対応方法、等について質問や相談をしたい事業者様に対して、お手軽に利用できるマイナンバーアドバイザリサービスを提供しております。
詳細は、弊社ホームページの「マイナンバー制度対応サービス」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

金子清隆

ITの有効活用・コスト見直しに強いコンサルタント

金子清隆(デルタエッジコンサルタント株式会社)

Share
関連するコラム

金子清隆プロへの
お問い合わせ

マイベストプロを見た
と言うとスムーズです

お電話での
お問い合わせ
03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆

デルタエッジコンサルタント株式会社

担当金子清隆(かねこきよたか)

地図・アクセス

金子清隆のソーシャルメディア

facebook
Facebook

金子清隆プロのコンテンツ