【個人情報対策】JAPHICマーク取得事業者が行うべき個人データ漏えい等への対処

未分類

JAPHICマークを取得した事業者、もしくはこれから取得を目指す事業者には、個人データの適切な取扱いが求められます。
また、万が一個人データの漏えいやそのおそれがある事案が発生した場合は、適切な措置によって対処しなければいけません。
今回は、こちらの対処の内容について解説したいと思います。

個人データの漏えい等が発生したときに必要な措置

JAPHICマークの取得事業者は、自社が所有する個人データの漏えい等(漏えいやそのおそれがある事案)が発生したとき、以下のような措置を取らなければいけません。

・被害の拡大防止
・事実関係や原因の調査
・影響範囲の特定
・再発防止策の検討や実施
・個人情報保護委員会、本人への通知

個人情報保護委員会への報告について

JAPHICマークの取得事業者が講じる、個人データの漏えい等の措置として、個人情報保護委員会への報告がありますが、こちらの報告義務が生じるのは、以下のような事案が発生したことを知ったときです。

・要配慮個人情報を含む個人データの漏えいやそのおそれがある事案
・不正利用によって財産的な被害が生じるおそれのある個人データ漏えいやそのおそれがある事案
・不正目的で行われたおそれのある個人データ漏えいやそのおそれがある事案
・1,000人以上の個人データの漏えいまたはそのおそれがある事案

財産的被害が生じるおそれのある漏えいとは、クレジットカード番号やネットバンキングのID、パスワードなどの漏えいを指しています。

また、不正目的で行われたおそれのある漏えいには、不正アクセスや従業員による持ち出しなどが該当します。

個人情報保護委員会への報告方法について

前述したような事案における個人情報保護委員会への報告は、速報として個人情報保護委員会のホームページに設置されたフォームに入力する方法で行います。

こちらの入力は、対象事案の発生から3~5日以内に行い、以下の内容を含む必要があります。

・事案の概要
・漏えいまたはそのおそれのある個人データの項目
・漏えいまたはそのおそれがある個人データの数
・事案の原因
・二次被害やそのおそれのある事案の内容
・本人への対応状況
・公表の実施状況
・再発防止策 など

ちなみに、JAPHICマークの取得事業者は、これらの報告に加え、30日以内または60日以内に、確報として上記の項目を報告しなければいけません。
確報とは、速報時点では明確でなかった内容などについて、補完して報告する内容のことをいいます。

また、個人データの取扱いに関して委託している事業者で漏えい等が発生した場合も、委託元として速やかに個人情報保護委員会に報告しなければいけません。

本人への通知について

JAPHICマークの取得事業者は、漏えい等が発生した個人データに該当する本人に対し、速やかに通知する必要があります。

このとき通知する内容は、概要、漏えいまたはそのおそれのある個人データの項目、原因、二次被害やそのおそれのある事案の内容、その他の参考となる事項のみです。
個人情報保護委員会と同じ内容を通知する必要はありません。

また、本人への通知方法については、法律で様式が定められているわけではありませんが、できる限り本人にとってわかりやすい形で通知することが望ましいです。
例えば、文書の郵送やメールの送信などが挙げられます。

もし、本人への通知が難しいのであれば、ホームページで発表したり、専用の問い合わせ窓口を設置し、そちらに連絡してもらうなどの代替措置を講じたりすることが可能です。

まとめ

ここまで、JAPHICマークの取得事業者が行うべき、個人データ漏えい等への対処について解説してきましたが、いかがでしたでしょうか?
問題ないと判断される個人情報保護体制が整っていたとしても、漏えいのリスクをゼロにするのは難しいです。
そのため、漏えい等が発生したときに、どれだけ自社やステークホルダーへの影響を最小限に抑えられるかが大切です。

JAPHICマークに興味を持って頂いたら

JAPHICマークをもっと知って頂くために、コンサルタントによるJAPHICマーク取得のための無料セミナーを月2回実施しています。
詳しい日程はこちらから

JAPHICマーク取得コンサルティング資料請求などはこちらから

未分類
タイトルとURLをコピーしました