最近のニュースでも、「○○件の個人情報が流出」「不正アクセスにより個人情報が漏えい」といったことをよく耳にします。
Pマークを取得している企業は、個人情報の漏えい等を起こさないためのルールもそうですが、起きてしまったときに被害を最小限にとどめるための対応手順もルールとして決めておく必要があります。
今回は、もし個人情報に関するインシデントが発生した場合の連絡先について確認していきます。
インシデントとは
インシデントとは、簡単に言うと、発生してしまうと好ましくない出来事です。
個人情報を取り扱うにあたり考えられるリスク(個人情報保護リスク)が、実際に起きてしまった状況のことで、例えば、個人情報の漏えい、滅失又はき損が発生した場合があたります。
Pマークでは、個人情報の漏えい等が発生した場合に、本人への通知、二次被害防止のために事実関係の公表、関係機関への報告を行うことを含んだ手順を作成することが求められています。
インシデント発生時に連絡すべき先はどこか
個人情報に関するインシデントが発生した場合、連絡する先として以下が挙げられます。
本人
本人へ連絡するか、本人が簡単に知れるような状態にする(ウェブサイトに掲載する等)必要があります。
個人情報保護委員会
個人情報保護委員会への連絡先は、マイナンバーの場合とその他個人情報の場合で連絡する先が違います。
報告の内容としては、組織の情報(組織名、担当者情報等)、漏えい等が発覚日と発生日、漏えい等した個人情報の詳細と発生原因、再発防止策等があります。
個人情報に関する漏えい等の発生が確認した場合は、速やかに(当該事態を知った日から3~5日以内)にその時点で把握し得る情報を以下の連絡先より報告しなければなりません。
また、個人情報保護委員会の定める報告事項が不足している場合は、事実確認を行った上で、確報として当該事態を知った日から30日以内に追加で以下の連絡先に報告する必要があります。
※第一報で報告すべき事項が網羅されている場合は、追加での報告は不要です。
詳細な連絡先は、以下Webサイトの「漏えい等報告はこちら」の項目をご参照ください。
Webサイト上で質問に回答いただくことで、報告すべき各フォームへ案内される形式となっています。
また、重大な影響が生じ得ると判断された事案や、公表(予定を含む。)事案等の急を要する報告をする場合は、下記へ電話にてご連絡ください。
- 電話番号:03-6457-9685
個人データ漏えい等報告窓口 宛
認定個人情報保護団体(認定個人情報保護団体へ加盟している場合)
※認定個人情報保護団体とは、事業者の個人情報の適切な取り扱いの確保を目的として個人情報保護委員会からの認定を受けた民間団体です。対象事業者が消費者からの個人情報の取扱いに関する苦情を受けたときの処理、漏えい等の事案が発生した場合の対応等が役割としてあります。
Pマーク審査機関(Pマークを取得している場合)
個人情報の委託元(受託している個人情報を漏えいした場合)
個人情報を受託している場合は、個人情報の取り扱いについての責任は委託元になります。そのため、受託している企業はもしインシデントが発生した場合は速やかに現状を連絡する必要があります。
その他、グループ会社や取引先など場合により連絡すべき先は考えられます。
まとめ
インシデント発生の可能性を100%なくすことはできません。
そのため、発生可能性を下げると共に、インシデントが発生した場合の被害を最小限にするという視点でルールを作成しておくことが重要となります。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/blog/wp-content/themes/blog/images/f_tel.png){kind=small}