特定個人情報の漏えい等が発生した場合、金融機関は個人情報保護委員会又は監督 当局に報告する義務を負うか。

5 漏えい等報告

Q4-8

特定個人情報の漏えい等が発生した場合、金融機関は個人情報保護委員会又は監督当局に報告する義務を負うか。

A4-8

行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)第 29 条の4第1項に基づき、個人番号利用事務等実施者は、番号法第 29 条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則第2条各号に定める事態を知ったときは、個人情報保護委員会に報告を行う必要があります(義務規定)。

※上記規則第2条各号に定める事態

  • ① 次に掲げる特定個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。)の漏えい等が発生し、又は発生したおそれがある事態
    • イ 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報
    • ロ 個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報
    • ハ 行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報
  • ② 次に掲げる事態
    • イ 不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態
    • ロ 不正の目的をもって、特定個人情報が利用され、又は利用されたおそれがある事態
    • ハ 不正の目的をもって、特定個人情報が提供され、又は提供されたおそれがある事態
  • ③ 個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態
  • ④ 次に掲げる特定個人情報に係る本人の数が 100 人を超える事態
    • イ 漏えい等が発生し、又は発生したおそれがある特定個人情報
    • ロ 番号法第9条の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報
    • ハ 番号法第 19 条の規定に反して提供され、又は提供されたおそれがある特定個人情報

また、特定個人情報の適正な取扱いに関するガイドライン(事業者編)においては、特定個人情報を取り扱う事業者は、上記規則第2条各号の事態に該当しない漏えい等事案においても、個人情報保護委員会に報告するよう努めることとされています(努力義務)。

※上記規則第2条各号の事態に該当しない漏えい等事案
漏えい等又はそのおそれのある事案その他の番号法違反の事案又は番号法違反のおそれのある事案のうち、上記規則第2条各号の事態に該当しない事案

特定個人情報の漏えい等が発生した場合は、番号法に基づき、個人情報保護委員会に宛てて、個人情報保護委員会事務局に報告書を提出してください。また、番号法第 29 条の4に基づく報告については、上記規則第3条に基づき速報・確報の2段階による報告が必要となります。

なお、特定個人情報の漏えい等が、「個人データ」の漏えい等にも該当する場合には、個人情報保護法又は各業法に基づく報告も併せて必要となる場合があります(q4-6参照)。報告先については、q4-7のとおりです。

検索キーワード