4 安全管理措置等
- Q4-18
「個人データ」の漏えい等が発生した場合、事実関係及び再発防止策等について、公表すべきか。
- A4-18
個人情報取扱事業者は、個人データの漏えい等が発生した場合、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましいと考えられます(通則ガイドライン 3-5-2)。
また、金融分野ガイドライン第 11 条第4項は、金融機関が取り扱う情報の性質やその取扱方法の特殊性等に鑑み、その取り扱う個人情報の漏えい等が発生した場合においても、「当該事態の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等について、速やかに公表することとする。」との努力義務規定を定めています。金融機関が取り扱う情報の性質等に鑑みれば、基本的には全ての事案について速やかに公表すること が望ましいと考えられます。
なお、例えば、インターネット上の掲示版等に漏えいした個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初動対応が完了しておらず、事実関係等を公表することで、かえって被害が拡大することが想定される場合等においては、当該時点(必要な初動対応が完了していない時点)において公表を行う必要はないと考えられます。