2023年7月18日
皆さま、こんにちは!
日差しの強さが強まり、いよいよ夏本番といった気候ですね。
私は、熱くなってくると、そうめんやアイス等冷たいものを食べ過ぎて、体がだるくなり、毎年後悔しています(笑)
夏こそ温かいものを意識して食べた方がいいのかもしれませんね。
さて、今月の労務トピックは、「個人情報漏洩時の対応について」お話しします。
今回、弊社労務部門で使用していたシステムにトラブルがあり、「個人情報漏洩」を改めて意識しました。もし御社で個人情報の漏洩があった場合、そういったときは、どのように対応したらよいのか、まとめていきます。
- 漏洩等事案が発覚した場合に講ずべき措置
個人情報の漏洩等が発覚した場合の基本的な対応は以下の5つです。
(1)事業者内部における報告及び被害の拡大防止
(2)事実関係の調査及び原因の究明
(3)影響範囲の特定
(4)再発防止策の検討及び実施
(5)個人情報保護委員への報告及び本人への通知
本日は、この中の(5)を中心にお伝えいたします。
- 個人情報漏洩の際は、個人情報保護委員会への報告が必要
前項上記(5)にあるように、要配慮個人情報(※)が含まれる個人データや、不正に利用されると財産的被害が生じる恐れがある個人データ、不正の目的をもって行われたおそれがある個人データ等が漏洩した際は、個人情報保護委員会への報告が必要となります。
※要配慮個人情報詳細とは
(https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-3)
個人データの取り扱いを委託している場合、原則、委託元と委託先の双方に報告義務があります。(連名での報告も可能です。)
- 報告のタイミングは、「速報」「確報」の2回
漏洩等の報告は、「速報」「確報」の2回のタイミングがあります。まず漏洩が発覚した際、①概要
②個人データの項目
③個人データに係る本人の数
④原因
⑤二次被害又はそのおそれの有無及びその内容
⑥6本人への対応の実施状況
⑦公表の実施状況⑧再発防止のための措置
上記の7つを、すみやかに報告します(速報)。発覚日から3~5日以内に報告しましょう。次に、漏洩が不正な目的で行われたおそれがある場合は、発覚日から30日以内に再度報告を行います(確報)。
- 本人への通知について
個人情報漏洩の際は、個人情報取り扱い事業者から本人への通知をすみやかに行う義務があります。
- 概要
- 個人データの報告
- 原因
- 二次被害又はそのおそれの有無及びその内容
- その他参考となる事項
以上を通知します。通知の方法は、文書を送付する、メールを送信するなど、本人にとってわかりやすい形で行います。
<参考資料>
◆漏洩等の報告フォーム、社内研修動画などお役立ち資料はこちらから↓
https://www.ppc.go.jp/personalinfo/legal/leakAction/
いかがでしょうか。
個人情報の漏洩が発生した際、必要な報告、通知についてまとめました。個人情報の漏洩が起こらないように、普段から、ルールを作って社員に周知して個人方法を安全に管理するなど、対策を講じることが第一ですが、サイバー犯罪の標的になるなど、対策をしていても被害にあう場合もあります。万が一、漏洩(おそれでも)発生した際は、お客様への必要な報告、個人情報保護委員会への報告、社員への通知は、必須で行いましょう。
★お問い合わせはこちらから