漏えい等の対応とお役立ち資料

漏えい等報告について

報告の期限

まずは、速報(新規)発覚日から、3〜5日以内

発覚したら、まずは速やかに報告してください。

まずは、確報(続報)発覚日から、30日以内

不正な目的で行われたおそれがある場合は、発覚日から、60日以内

漏えい等報告が必要な場合

下記の要件に該当する場合、漏えい等報告が義務付けられています。

※行政機関等には、国の行政機関・独立行政法人等・地方公共団体の機関・地方独立行政法人を含みます。

  • (1)要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)※民間事業者等
    要配慮個人情報が含まれる保有個人情報の漏えい等(又はそのおそれ)※行政機関等

    以下のものが「要配慮個人情報」に当たります。要配慮個人情報の詳細はこちら
    人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他政令で定めるもの(身体障害、知的障害、精神障害等の障害があること、健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと、本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと)

    【例1.】
    病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合

    【例2.】
    従業員の健康診断等の結果を含む個人データが、漏えいした場合

  • (2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ) ※民間事業者等
    不正に利用されることにより財産的被害が生じるおそれがある保有個人情報の漏えい等(又はそのおそれ) ※行政機関等

    【例1.】
    ECサイトからクレジットカード番号を含む個人データが漏えいした場合

    ※クレジットカード番号の下4桁のみとその有効期限の組合せの漏えいであれば、直ちに報告対象事態には該当しない。

    【例2.】
    送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

  • (3)不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)※民間事業者等
    不正の目的をもって行われたおそれがある保有個人情報の漏えい等(又はそのおそれ) ※行政機関等

    ※「不正の目的をもって」の主体は、従業者だけではなく、盗難等第三者も含まれます。

    【例1.】
    不正アクセスにより個人データが漏えいした場合

    • ●個人データを格納しているサーバー等において、外部からの不正アクセスによりデータが窃取された場合
    • ●マルウェアに感染したコンピュータに不正な指令を送り、IPアドレス等への通信が確認された場合
    • ●不正検知を行う専門家等の第三者から漏えいのおそれについて連絡を受けた場合

    【例2.】
    ランサムウェア等により個人データが暗号化され、復元できなくなった場合

    【例3.】
    個人データが記載又は記録された書類・媒体等が盗難された場合

    【例4.】
    従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

  • (4)個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)※民間事業者等
    保有個人情報に係る本人の数が100人を超える漏えい等(又はそのおそれ)※行政機関等

    【例1.】
    システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合

    【例2.】
    自社の会員(1,000人超)にメールマガジンの配信を行う際、本来メールアドレスをBCC欄に入力して送信すべきところをCC欄に入力して一括送信した場合

  • (5)条例要配慮個人情報が含まれる保有個人情報の漏えい等(又はそのおそれ)※地方公共団体の機関、地方独立行政法人

漏えい等報告をする

漏えい等報告フォーム

  • 報告方法と留意点

    ●報告者の氏名又は名称の欄は、報告実務をされる担当者の氏名ではなく、事業者等の名称等をご入力ください。

    報告書

    ●ご報告の際は以下の記入例をご覧いただいた上で、ご報告ください。

    【記入例】
  • 以下のいずれかの条件に従って、報告いただくフォームをお選びください。

    漏えい等した情報にマイナンバーが含まれていますか?

    はい

    漏えい等した情報に
    マイナンバーが
    含まれている場合は
    事業者の方も行政機関等の方も
    こちらのフォームから
    ご報告ください。
    漏えい等報告フォーム

    マイナンバーが含まれているか
    不明な場合にも、
    こちらのフォームから報告をお願いします。

    いいえ

    A.行政機関等の方はこちら

    ※行政機関等には、国の行政機関・独立行政法人等・地方公共団体の機関・地方独立行政法人を含みます。

    漏えい等報告フォーム
    B.民間事業者・個人情報保護法第58条第1項各号に掲げる法人等(いわゆる規律移行法人)
    の方はこちら

    ※こちらの入力フォームは、個人情報取扱事業者や行政機関等が、個人情報保護委員会に対して、漏えい等事案の報告に使用するためのものです。個人の方による、事業者が個人情報保護法に定められた義務に反する行為があった場合の通報等は、個人情報保護法相談ダイヤルで受け付けています。

漏えい時の対応について(事業者編)

報告先の概要

個人情報保護委員会の権限が事業所管大臣に委任されている分野における個人情報取扱事業者は、委任先省庁等にご報告ください。
  • 個人情報保護法に基づく権限の委任を行う業種等及び府省庁並びに当該業種等における漏えい等事案発生時の報告先

ガイドライン等

漏えい時の対応について(行政機関等編) 

研修動画等お役立ち資料

動画一覧

詳細は、以下までお問い合わせください。
個人情報保護委員会事務局 安全管理研修担当 電話03-6457-9680(代表)

個人データの取扱いに関するお知らせ※注意喚起情報やヒヤリハット事例等の参考資料

お役立ちツール

自己点検チェックリストや個人データ取扱い要領等を掲載しています。

関連リンク(情報セキュリティに関する組織・機関等へのリンクです。)

その他留意事項

  • 報告いただいた情報は、事実の内容確認をはじめとした漏えい等事案の処理及び分析のために利用します。