4 安全管理措置等
- Q4-12
各業法に基づく監督当局への報告について、どこまで厳密に行う必要があるのか。例えば、FAXの誤送信、郵便物等の誤送付及びメールの誤送信などによる個人データの漏えい等で、当該情報の量や性質等に鑑みて、漏えい等事案としては軽微と思われるものまで、発生段階で必ず監督当局へ報告する必要性があるのか。
- A4-12
個人顧客に関する個人データについては、各業法において「当該事態が生じた旨を金融庁長官等に速やかに報告することその他の適切な措置」を講じることとされており(義務規定)、金融機関は、その取り扱う個人顧客に関する個人データの漏えい等事案が発生した場合は、監督当局への報告その他の適切な措置を行う必要があります。
ここでいう「速やかに報告することその他の適切な措置」については、以下のとおり考えられます。
- ① 原則として、その取り扱う個人顧客に関する「個人データ」の漏えい等が発生し、又は発生したおそれがある事態を知ったときは、「速やかに」(当該事態を知った時点から概ね3~5日以内を目安として)、その時点で把握している当該事態の概要等を監督当局に報告する必要があります。また、その後、当該事態の概要等が判明した場合には、判明次第、改めて監督当局に報告する必要があります。
- ② FAXの誤送信、郵便物等の誤送付、メールの誤送信等については、金融機関が個別の事案ごとに、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性等を検討し、「速やかに」報告を行う必要性が低いと判断したものであれば、業務の手続の簡素化を図る観点から、四半期に一回程度にまとめて監督当局に報告することも差し支えありません。
- ③ 郵便局員による誤配等、金融機関の責めに帰さない事案については、監督当局に報告する必要はないと判断いただいても差し支えありません。ただし、「本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい」とはいえない場合には、漏えい等した情報の量、機微(センシテブ)情報の有無及び二次被害や類似事案の発生の可能性などを検討した上で、都度「速やかに」又は四半期に一回程度にまとめて報告を行う必要があります。
- ④ 他方で、いかなる場合でも、漏えい等事案の事実関係等を公表する場合には、都度「速やかに」監督当局に報告する必要があります。
(参考)個人情報等の漏えい事案等に係る報告の様式は、法令等において特段指定をしておりませんが、一例として、本Q&A付属の(別紙様式1)及び(別紙様式2)の様式を示します(軽微と思われるものについては、(別紙様式2))。
(注)個人情報保護法に基づく報告の報告方法については、通則ガイドライン 3-5-3 をご参照下さい。