マイナンバー制度について、昨年末に「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則(以下、「規則」といいます。)」が制定され、併せて、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について(以下、「告示」といいます。)」も改正されました〔平成28年1月1日施行・適用〕。
特定個人情報の漏えい事案等が発生した場合の対応〔概要〕
1.告示における「特定個人情報の漏えい事案等が発覚した場合に講ずべき措置」
事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案または番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。
① | 事業者内部における報告、被害の拡大防止 | 責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。 |
② | 事実関係の調査、原因の究明 | 事実関係を調査し、番号法違反または番号法違反のおそれが把握できた場合には、その原因の究明を行う。 |
③ | 影響範囲の特定 | ②で把握した事実関係による影響の範囲を特定する。 |
④ | 再発防止策の検討・実施 | ②で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。 |
⑤ | 影響を受ける可能性のある本人への連絡等 | 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、または本人が容易に知り得る状態に置く。 |
⑥ | 事実関係、再発防止策等の公表 | 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。 |
2.告示に基づく報告
事業者は、その取り扱う特定個人情報に関する番号法違反の事案または番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、主務大臣等または個人情報保護委員会に報告するよう努める。
㊟ 上記の番号法違反の事案または番号法違反のおそれのある事案のうち、重大事態*に該当する事案については、事業者は、番号法第28条の4の規定に基づき、規則の規定に従って個人情報保護委員会に報告する必要がある。
*「重大事態」とは、以下の場合を指します。
㋐ 情報提供ネットワークシステムまたは個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合
㋑ 漏えい等した特定個人情報の本人の数が101人以上である場合
㋒ 電磁的方法によって、不特定多数の人が閲覧できる状態となった場合
㋓ 職員等(従業員等)が不正の目的で利用し、または提供した場合
〈補足〉たとえば、単に特定個人情報を処理しているパソコンがウイルス感染したことが発覚したとか、従業員が自宅で業務の続きをするため(不正の目的なし)に、社内規程に違反して、特定個人情報を含む資料を自宅に持ち帰っただけでは重大事態に当てはまらないとされていますが、特定個人情報に係る本人の数が100人を超える漏えいなどが起こってしまえば、重大事態に該当します。