個人情報の保護に関する法律についてのQ&A(行政機関等編)
- 3 個人情報等の取扱い
【3-4 漏えい等の報告等】 - Q3-4-2
行政機関等が委託した業務に関し、委託先の事業者(個人情報取扱事業者) の社内において当該委託に係る個人データの紛失が発生した場合、漏えい等の報告義務 はどのように考えればよいか。
- A3-4-2
行政機関等が保有個人情報の取扱いを委託している委託先が、当該委託された保有個人情報であって個人データに該当するものを紛失し、それが「滅失」に該当する場合(法第 26 条)、委託元である行政機関等と委託先である個人情報取扱事業者の双方が当該情報を取り扱っていることになるため、それぞれ報告の対象となる事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負います。この場合、委託元である行政機関等については法第 68 条第 1 項の規定に基づき報告義務を負い、委託先の個人情報取扱事業者については法第 26 条第 1 項の規定に基づき報告義務を負うこととなります。
なお、委託先が個人情報取扱事業者の場合、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されることとなります(法第 26条第 1 項ただし書、事務対応ガイド 4-4-1(6)参照)。
(令和 6 年 3 月追加)