Q9、会社が保有する顧客の個人データの漏えいが発覚した場合、どのような対応が求められますか。
A9、
改正法では、個人情報保護委員会が個人情報取扱事業者の監督を行うものとされており、具体的指針として通則ガイドラインを定めています。
この中で、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」とされ、これを受けて「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)が定められました。
Q10、「漏えい等事案」が発覚した場合に講じるべき措置はどのような内容ですか。
A10、
個人情報取扱事業者は、「漏えい等事案」が発覚した場合は、次の①から⑥に掲げる事項について必要な措置を講じることが望ましいとされます。
①事業者内部における報告および被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じるものとされています。
ここでいう必要な措置とは、たとえば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いて、ネットワークからの切り離しを行うなどの措置を直ちに行うことなどが考えられるとされています。
②事実関係の調査および原因の究明
漏えい等事案の事実関係の調査および原因の究明に必要な措置を講じるものとされています。
③影響範囲の特定
調査等で把握した事実関係による影響の範囲を特定するものとされています。
具体的には、個人データの漏えいの場合には、漏えいした個人データにかかる本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられるとされています。
④再発防止策の検討および実施
調査等の結果を踏まえ、漏えい等事案の再発防止策の検討および実施に必要な措置を速やかに講じるものとされています。
⑤影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、または本人が容易に知り得る状態に置くものとされています。具体的には、本人がアクセスできるホームページへの掲載や専用窓口の設置による対応などが考えられます。
⑥事実関係および再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係および再発防止策等について、速やかに公表するものとされています。
Q11、漏えい等事案を個人情報保護委員会等への報告をする必要はありますか。
A11、
漏えい等事案が発覚した場合は、個人情報取扱事業者は、その事実関係および再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めるものとされています。
なお、①実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断される場合、②ファクシミリもしくはメールの誤送信、または荷物の誤配当等のうち軽微なものの場合には、報告を要しないものとされています。