個人データの漏えい等の事案が発生した場合等の対応について
(平成29年個人情報保護委員会告示第1号)
個人情報保護委員会は、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を平成28年11月30日に公表した。
通則ガイドラインの「4 漏えい等の事案が発生した場合等の対応」において、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」こととしていたが、当該対応について次のとおり定める。
本告示において使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例による。
なお、特定個人情報の漏えい事案等が発覚した場合については、本告示によらず、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27年特定個人情報保護委員会告示第2号)による。
1.対象とする事案
本告示は、次の(1)から(3)までのいずれかに該当する事案(以下「漏えい等事案」という。)を対象とする。
- 個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
- 個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)第20条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい
- 上記(1)又は(2)のおそれ
2.漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等事案が発覚した場合は、次の(1)から(6)に掲げる事項について必要な措置を講ずることが望ましい。
- 事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。 - 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。 - 影響範囲の特定
上記(2)で把握した事実関係による影響の範囲を特定する。 - 再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。 - 影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。 - 事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。
3.個人情報保護委員会等への報告
個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、次のとおり速やかに報告するよう努める。
- 報告の方法
原則として、個人情報保護委員会に対して報告する。ただし、法第47条第1項に規定する認定個人情報保護団体の対象事業者である個人情報取扱事業者は、当該認定個人情報保護団体に報告する。
上記にかかわらず、法第44条第1項に基づき法第40条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野における個人情報取扱事業者の報告先については、別途公表するところによる(※1)。- (※1) 法第44条第1項に基づき法第40条第1項に規定する個人情報保護委員会の権限が事業所管大臣に委任されている分野の詳細についても、別途公表するところによる。
- 報告を要しない場合
次の①又は②のいずれかに該当する場合は、報告を要しない(※2)。(※2) この場合も、事実関係の調査及び原因の究明並びに再発防止策の検討及び実施をはじめとする上記2.の各対応を実施することが、同様に望ましい。
- ①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合(※3)
(※3) なお、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」には、例えば、次のような場合が該当する。
- 漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合
- 漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
- 漏えい等事案に係る個人データ又は加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データ又は加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)
- 個人データ又は加工方法等情報の滅失又は毀損にとどまり、第三者が漏えい等事案に係る個人データ又は加工方法等情報を閲覧することが合理的に予測できない場合
- ②FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合(※4)
(※4) なお、「軽微なもの」には、例えば、次のような場合が該当する。
- FAX若しくはメールの誤送信、又は荷物の誤配等のうち、宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場
- ①実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合(※3)