マイナンバー漏えい事案等が発生した場合の対応について 特定個人情報保護委員会告示が平成27年9月28日付官報に掲載


本日(平成27年9月28日付け)の官報に、特定個人情報の漏えい事案等が発生した場合と番号法違反のおそれがある事案が発覚した場合の対応について、特定個人情報保護委員会委員長名で告示が掲載されました。
ガイドライン「第3-6 特定個人情報の漏えい事案等が発生した場合の対応」については別に定めることとしていた部分を定めたものです。
共に、努力義務(望ましい)としていますが、企業としては対応していった方がよいと考えられます。

1.企業内部で講ずることが望ましいこと
 (1)事業者内部における報告、被害の拡大防止
 (2)事実関係の調査、原因の究明
 (3)影響範囲の特定
 (4)再発防止策の検討・実施
 (5)影響を受ける可能性のある本人への連絡等
 (6)事実関係、再発防止策等の公表

2.主務大臣・特定個人情報保護委員会への報告
 (1)報告の方法(2)報告の時期
   ア.個人情報取扱事業者の場合は主務大臣のガイドライン等の規定に従う        
   イ.それ以外の事業者または主務大臣が明らかでない場合は特定個人情報保護委員会に速やかに報告
   ウ. 番号法固有の規定に関する事案の場合は特定個人情報保護委員会に速やかに報告
  ※ただし、重大事案またはそのおそれのある事案が発覚した時点で、直ちにその旨を特定個人情報保護委員会に報告する
   その後、事実関係及び再発防止策等について(1)に従い、報告する
  「重大事案」とは以下の通り
   ①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合
   ②事案における特定個人情報の本人の数が101人以上である場合
   ③不特定多数の人が閲覧できる状態になった場合
   ④従業員等が不正の目的で持ち出したり利用したりした場合
   ⑤その他事業者において重大事案と判断される場合

3.特定個人情報保護委員会に報告を要しない場合(個人情報取扱事業者以外で以下のすべてに当てはまる場合)
 ①影響を受ける可能性のある本人全てに連絡した場合
 ②外部に漏えいしていないと判断される場合
 ③従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
 ④事実関係の調査を了し、再発防止策を決定している場合
 ⑤事案における特定個人情報の本人の数が100人以下の場合
  
 
詳細は以下のURLからご覧いただけます。
「独立行政法人等及び地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応についてを定める件(特定個人情報保護委一)」
「事業者における特定個人情報の漏えい事案等が発生した場合の対応についてを定める件(同二)」(2つのリンク先にまたがっています)
http://kanpou.npb.go.jp/20150928/20150928h06624/20150928h066240003f.html
http://kanpou.npb.go.jp/20150928/20150928h06624/20150928h066240004f.html