JAPHICマーク取得事業者は、マーク取得後も個人情報保護体制を万全の状態にし、顧客などの個人データを保護しなければいけません。
また、万が一個人データに関する事故等が発生した場合は、JAPHIC機構および個人情報保護委員会に報告する必要があります。
今回は、こちらの報告における項目について解説します。
JAPHICマーク取得事業者が事故等を報告する際の9つの項目
JAPHICマーク取得事業者は、個人データの漏えいや不正利用があったとき、もしくはそのおそれがあるとき、個人情報保護委員会のWebサイトにおける報告フォームから、速報として以下の項目について報告を行います。
・概要
・漏えいもしくはそのおそれがある個人データの項目
・漏えいもしくはそのおそれがある個人データの数
・原因
・二次被害もしくはそのおそれの内容
・本人への対応状況
・公表の実施状況
・再発防止措置
・その他の参考となる事項
概要
発生した事故等の概要として、発生した日時、発覚した日時、発生した事案、発見した人物、委託元および委託先の有無、事実経過などについて報告します。
漏えいもしくはそのおそれがある個人データの項目
どのような個人データに漏えいもしくはそのおそれがあったのか、またはどのような媒体に漏えいやそのおそれがあったのかを報告します。
漏えいもしくはそのおそれがある個人データの数
何人分にあたる個人データが事故等の対象になったのかを報告します。
原因
事故等が発生した原因について報告します。
このとき、JAPHICマーク取得事業者とは別に、報告者や委託先などの主体が存在する場合は、そちらもあわせて報告しなければいけません。
二次被害もしくはそのおそれの内容
例えば、個人データの漏えいにより、そのデータの不正利用が行われたり、個人データの本人に金銭的な被害が及んだりする場合は、その旨を報告します。
本人への対応状況
事故等の対象となった個人データの本人に対し、通知を含むどのような措置を行ったのかについて報告します。
公表の実施状況
自社のWebサイトにおけるプレスリリースなど、当該事案の公表状況について報告します。
再発防止措置
発生した事故等が今後再発することを防止するため、どのような措置を取るのか、すでに実施済みのものと、今後実施する予定のものをそれぞれ別々に報告します。
その他の参考となる事項
上記の事項について内容を保管するため、参考となる事項を報告します。
確報について
個人情報保護委員会に対する速報を行った後は、事故等から30日以内もしくは60日以内(不正目的で行われた漏えい等の場合)に、個人情報保護委員会へ確報として改めて前述した項目を報告しなければいけません。
また、確報を行う時点で、すべての事項を完全に報告することが不可能な場合は、その時点で判明していることを報告し、判明次第速やかに情報を更新する必要があります。
JAPHIC機構への報告について
前述した速報や確報については、すべて個人情報保護委員会に対して行うものです。
また、このとき報告した内容については、JAPHIC機構にも報告する必要があります。
具体的には、速報、確報の内容を入力した後、システム内のPDF出力を選択し、出力した報告書をメールで提出します。
ちなみに、事故等の対象になった個人データの数が1,000人を超えていない場合、または特定個人情報の数が100人を超えていない場合、報告はJAPHIC機構に対してのみ行います。
まとめ
ここまで、JAPHICマーク取得事業者が事故等の報告を行うときの項目を中心に解説してきました。
万全の体制を敷いていても、発生のリスクをゼロにすることはできないのが、漏えいや不正利用のおそろしいところです。
また、きちんと然るべき処置や対応を取らなければ、JAPHICマーク取得事業者としての信用を損なったり、規約違反になってしまったりするため、注意してください。