その他令和6年7月22日

個人情報の保護に関するガイドライン(安全管理措置等)

掲載日
令和6年7月22日
号種
号外
原文ページ
p.23 - p.27
出典:官報発行サイト(内閣府)の掲載情報をもとに整理しています。重要な確認は公式原文を基準にしてください。
抽出要点

個人情報保護法に基づく漏えい等報告の手続及び委託先の特例等

抽出された基本情報

本文と原文の対照

まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。

← 同日の官報に戻る
原文対照の表示オプション

個人情報の保護に関するガイドライン(安全管理措置等)

令和6年7月22日|p.23-27

左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。

公式原文あり本文テキスト画像照合可誤りを報告
(安全管理措置)
第12条 協会員は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じなければならない。必要かつ適切な措置は、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」及び「外的環境の把握」を含むものでなければならない。
なお、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況及び個人データを記録した媒体の性質等に起因するリスクに応じたものとする。
例えば、不特定多数者が書店で随時に購入可能な名簿で、協会員において全く加工をしていないものについては、個人の権利利益を侵害するおそれは低いと考えられることから、それを処分するために文書細断機等による処理を行わずに廃棄し、又は廃品回収に出したとしても、協会員の安全管理措置の義務違反にはならない。
なお、保護法第23条における「その他の個人データの安全管理のために必要かつ適切な措置」には、協会員が取得し、又は取得しようとしている個人情報であって、当該協会員が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。そのため、以下この条における「個人データ」には、当該個人情報も含まれることに留意する。
本条における用語の定義は、次のとおりである。
(1) 組織的安全管理措置
個人データの安全管理措置について役職員(協会員の組織内にあって、直接又は間接に協会員の指揮監督を受けて協会員の業務に従事する者等をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、協会との間の雇用関係にない者(取締役、執行役、監査役、派遣社員等)も含まれる。以下同じ。)の責任と権限を明確に定め、安全管理に関する規程等を整備・運用し、その実施状況の点検・監査を行うこと等の協会員の体制整備及び実施措置をいう。
(2) 人的安全管理措置
役職員との個人データの非開示契約等の締結及び役職員に対する教育・訓練等を実施し、個人データの安全管理が図られるよう役職員を監督することをいう。
(3) 物理的安全管理措置
個人データを取り扱う区域の管理、機器及び電子媒体等の盗難の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止並びに機器及び電子媒体等の廃棄等の個人データの安全管理に関する物理的な措置をいう。
(4) 技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御及び情報システムの監視等の個人データの安全管理に関する技術的な措置をいう。
(5) 外的環境の把握
外国において個人データを取り扱う場合に、当該外国の個人情報の保護に関する制度等を把握することをいう。協会員は、外国において個人データを取り扱う場合には、外的環境を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
2 協会員は、個人データの安全管理に係る基本方針・取扱規程等の整備として、以下の「組織的安全管理措置」を講じなければならない。
(1) 規程等の整備
イ 個人データの安全管理に係る基本方針の整備
ロ 個人データの安全管理に係る取扱規程の整備
ハ 個人データの取扱状況の点検及び監査に係る規程の整備
ニ 外部委託に係る規程の整備
(2) 各管理段階における安全管理に係る取扱規程
イ 取得・入力段階における取扱規程
ロ 利用・加工段階における取扱規程
ハ 保管・保存段階における取扱規程
ニ 移送・送信段階における取扱規程
ホ 消去・廃棄段階における取扱規程
へ 漏えい等事案(漏えい等又はそのおそれのある事案をいう。以下同じ。)への対応の段階における取扱規程
3 協会員は、個人データの安全管理に係る実施体制の整備として、以下の「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」及び「技術的安全管理措置」を講じなければならない。
(1) 組織的安全管理措置
イ 個人データの管理責任者等の設置
ロ 就業規則等における安全管理措置の整備
ハ 個人データの安全管理に係る取扱規程に従った運用
ニ 個人データの取扱状況を確認できる手段の整備
ホ 個人データの取扱状況の点検及び監査体制の整備と実施
へ 漏えい等事案に対応する体制の整備
(2) 人的安全管理措置
イ 役職員との個人データの非開示契約等の締結
ロ 役職員の役割・責任等の明確化
ハ 役職員への安全管理措置の周知徹底、教育及び訓練
ニ 役職員による個人データ管理手続きの遵守状況の確認
(3) 物理的安全管理措置
イ 個人データの取扱区域等の管理
ロ 機器及び電子媒体等の盗難等の防止
ハ 電子媒体等を持ち運ぶ場合の漏えい等の防止
ニ 個人データの削除及び機器、電子媒体等の廃棄
(4) 技術的安全管理措置
イ 個人データの利用者の識別及び認証
ロ 個人データの管理区分の設定及びアクセス制御
ハ 個人データへのアクセス権限の管理
ニ 個人データの漏えい等防止策
ホ 個人データへのアクセスの記録及び分析
へ 個人データを取り扱う情報システムの稼働状況の記録及び分析
ト 個人データを取り扱う情報システムの監視及び監査
(解説)
・漏えい、滅失及び毀損の定義については、第15条参照
(参照条文:保護法23条、通則ガイドライン3-4-2、金融分野ガイドライン8条)
(役職員の監督)
第13条 協会員は、その役職員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その役職員に対する必要かつ適切な監督を行わなければならない。
2 協会員は、前項の役職員に対する「必要かつ適切な監督」を以下の体制整備等により行うこととする。
(1) 役職員が、在職中及びその職を退いた後において、当該協会員の業務等に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約等を採用時等に締結すること
(2) 個人データの適正な取扱いのための取扱規程の策定を通じた役職員の役割・責任の明確化及び役職員への安全管理義務の周知徹底、教育及び訓練を行うこと
(3) 役職員による個人データの持出し等を防ぐため、社内での安全管理措置に係る取扱規程に定めた事項の遵守状況等の確認及び役職員における個人データの取扱状況の点検及び監査制度を整備すること
(解説)
・役職員の定義については、第12条参照
(参照条文:保護法24条、通則ガイドライン3-4-3、金融分野ガイドライン9条)
(委託先の監督)
第14条 協会員は、個人データの取扱いの全部又は一部を委託(契約の形態や種類を問わず、協会員が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。)する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
なお、当該監督は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
2 協会員は、個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託する個人データの安全管理が図られるよう、個人データの安全管理のための措置を委託先においても確保しなければならない(二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行うものとする)。
具体的には、以下の対応等が必要である。
(1) 個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直すこと。
(2) 委託者の監督・監査・報告徴収に関する権限、委託先における漏えい等の防止及び目的外利用の禁止、再委託に関する条件並びに漏えい等事案が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置の見直しを行わなければならない。
(解説)
・委託先には外国の委託先も含まれる。
(参照条文:保護法25条、通則ガイドライン3-4-4、金融分野ガイドライン10条)
(漏えい等の報告等)
第15条 協会員は、その取り扱う個人データの漏えい等その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして次の各号のいずれかに該当するものが生じたときは、次項以下の定めに従って、当該事態が生じた旨を個人情報保護委員会(保護法第150条の規定により金融庁長官等が報告を受理する権限の委任を受けている場合にあっては金融庁長官等、保護法第170条の規定により地方公共団体の長等が報告を受理する権限に属する事務を行う場合にあっては地方公共団体の長等。第11項において同じ。)に報告しなければならない。ただし、協会員が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
(1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下第1項各号及び次項において同じ。)の漏えい等が発生し、又は発生したおそれがある事態
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3) 不正の目的をもって行われたおそれがある当該協会員に対する行為による個人データ(当該協会員が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
(4) 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
2 前項の規定による報告をする場合には、前項各号に定める事態を知った後、速やかに、当該事態に関する次の各号の事項(報告をしようとする時点において把握しているものに限る。第5項において同じ。)を報告しなければならない(この時点での報告を「速報」という。以下同じ)。
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データ(前項第(3)号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
3 前項の場合において、協会員は、当該事態を知った日から30日以内(当該事態が第1項第(3)号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない(この時点での報告を「確報」という。以下同じ)。
4 第1項による報告は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める方法により行うものとする。
(1) 個人情報保護委員会に報告する場合
電子情報処理組織を使用する方法
(2) 保護法第150条第1項の規定により、第1項の規定による権限の委任を受けた事業所管大臣に報告する場合
施行規則第8条第3項第2号に定める報告書を提出する方法
【個人データの漏えいに該当する事例】
事例1) 個人データが記載された書類を第三者に誤送付した場合
事例2) 個人データを含むメールを第三者に誤送信した場合
事例3) システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
事例4) 個人データが記載又は記録された書類・媒体等が盗難された場合
事例5) 不正アクセス等により第三者に個人データを含む情報が窃取された場合
事例6) 協会員のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該協会員が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
(3) 個人データの「滅失」とは、個人データの内容が失われることをいう。
なお、下記の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しない。また、協会員が合理的な理由により個人データを削除する場合は、滅失に該当しない。
【個人データの滅失に該当する事例】
事例1) 個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合
注 当該帳票等が適切に廃棄されていない場合には、個人データの漏えいに該当する場合がある。
事例2) 個人データが記載又は記録された書類・媒体等を社内で紛失した場合
注 社外に流出した場合には、個人データの漏えいに該当する。
(4) 個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。
なお、下記事例2)及び事例3)の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しない。
【個人データの毀損に該当する事例】
事例1) 個人データの内容が改ざんされた場合
事例2) 暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
事例3) ランサムウェア等により個人データが暗号化され、復元できなくなった場合
注 同時に個人データが窃取された場合には、個人データの漏えいにも該当する。
(5) 報告すべき事態が発覚した場合に講じるべき措置(第10項)
協会員が本条に基づき報告すべき事態(第1項、第6項及び第7項に規定する事態)が発覚した場合に当該事態の内容等に応じて講じるべき必要な措置の内容は、次のとおりである。
① 事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
② 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
③ 影響範囲の特定
上記②で把握した事実関係による影響範囲の特定のために必要な措置を講ずる。
④ 再発防止策の検討及び実施
上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる。
⑤ 個人情報保護委員会への報告及び本人への通知
解説(6)から(16)を参照のこと。
なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。
(6) 保護法に基づく報告対象事態(第1項)
協会員は、次の①から④までに掲げる事態(以下「保護法報告対象事態」という。)を知ったときは、個人情報保護委員会から権限の委任を受けている監督当局(財務局長若しくは財務支局長又は都道府県知事)及び本協会に報告しなければならない(第1項、第11項)。
なお、保護法報告対象事態に該当しない漏えい等事案であっても、協会員は個人情報保護委員会及び本協会に任意の報告をすることができる。
保護法報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになる。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する。
① 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(第1項第(1)号関係)
【報告を要する事例】
事例1)従業員の健康診断等の結果を含む個人データが漏えいした場合
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(第1項第(2)号関係)
財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断する。
【報告を要する事例】
事例1)ECサイトからクレジットカード番号を含む個人データが漏えいした場合
事例2)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
不正の目的をもって行われたおそれがある当該協会員に対する行為による個人データ(当該協会員が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態(第1項第(3)号関係)
「不正の目的をもって行われたおそれがある当該協会員に対する行為」(以下「不正行為」という。)の主体には、第三者のみならず、従業者も含まれる。また、不正行為の相手方である「当該協会員」には、当該協会員が第三者に個人データの取扱いを委託している場合における当該第三者(委託先)及び当該協会員が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれる。
当該協会員が「取得しようとしている個人情報」に該当するかどうかは、当該協会員が用いている個人情報の取得手段等を考慮して客観的に判断する。
個人情報データベース等へ入力すること等を予定していれば、最終的に個人情報に該当しない統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当する。
注 協会員が、個人データとして取り扱うことを予定している個人情報の取扱いを第三者に委託する場合であって、当該第三者(委託先)が当該個人情報を個人データとして取り扱う予定はないときも、ここにいう「協会員が第三者に個人データの取扱いを委託している場合」に該当する。
【報告を要する事例】
事例1)不正アクセスにより個人データ(個人情報データベース等へ入力する予定の個人情報を含む。以下、事例5)まで同じ。)が漏えいした場合
事例2)ランサムウェア等により個人データが暗号化され、復元できなくなった場合
事例3)個人データが記載又は記録された書類・媒体等が盗難された場合
事例4)従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
注 従業者による個人データ又は個人情報の持ち出しの事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、個人データ又は個人情報を格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。
事例5)従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と協会員との電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
事例6)協会員の入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該協会員が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例7)協会員上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該協会員が、当該協会員の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例8)協会員が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該協会員が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
注 サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、次のイからホが考えられる。
イ 個人データ(個人情報データベース等へ入力する予定の個人情報を含む。ロにおいて同じ。)を格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合
ロ 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合
ハ マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDN(Fully Qualified Domain Nameの略。サブドメイン名及びドメイン名からなる文字列であり、ネットワーク上のコンピュータ(サーバ等)を特定するもの。)への通信が確認された場合
ニ 個人情報の取得手段であるウェブページを構成するファイルを保存しているサーバや、当該サーバにアクセス権限を有する端末において、外部からの不正アクセスにより、当該ファイルに、当該ウェブページに入力された情報を窃取するような改ざんがされた痕跡が確認された場合
ホ 不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合
(7) 報告義務の主体
漏えい等報告の義務を負う主体は、原則として、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う協会員である。ただし、第1項第(3)号に定める事態について漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データ又は個人情報を取り扱い、又は取得しようとしている協会員である(解説(1)参照)。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データ又は個人情報を取り扱っており、又は取得しようとしていることになるため、保護法報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される(第1項ただし書参照)。
また、委託元から委託先にある個人データ(個人データA)の取扱いを委託している場合であって、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、委託元において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになる。
(8) 「速報」について(第2項)
協会員は、保護法報告対象事態を知ったときは、速やかに、個人情報保護委員会及び本協会に報告しなければならない。
報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されるが、協会員が法人である場合には、いずれかの部署が当該事態を知った時点を基準とする。「速やか」の日数の目安については、個別の事案によるものの、協会員が当該事態を知った時点から概ね3~5日以内である。
個人情報保護委員会への漏えい等報告については、次の①から⑨までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りる。
① 「概要」
当該事態の概要について、発生日、発見日、発生事案、発見者、第15条第1項各号該当性、委託元及び委託先の有無、事実経過等を報告する。
② 「漏えい等が発生し、又は発生したおそれがある個人データ(前項第(3)号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目」
漏えい等が発生し、又は発生したおそれがある個人データ(第1項第(3)号に定める事態については、同号に規定する個人情報を含む。)の項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
③ 「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
漏えい等が発生し、又は発生したおそれがある個人データ(第1項第(3)号に定める事態については、同号に規定する個人情報を含む。)に係る本人の数について報告する。
④ 「原因」
当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。
⑤ 「二次被害又はそのおそれの有無及びその内容」
当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。
⑥ 「本人への対応の実施状況」
当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
⑦ 「公表の実施状況」
当該事態に関する公表の実施状況について報告する。
⑧ 「再発防止のための措置」
漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
⑨ 「その他参考となる事項」
上記の①から⑧までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。
(9) 「確報」について(第3項)
協会員は、保護法報告対象事態を知ったときは、速報に加え、30日以内(第1項第(3)号の事態においては60日以内。同号の事態に加え、同条第(1)号、第(2)号又は第(4)号の事態にも該当する場合も60日以内。)に個人情報保護委員会及び本協会に報告しなければならない。30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましい。
報告期限の起算点となる「知った」時点については、速報と同様に、協会員が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定に当たっては、その時点を1日目とする。
確報においては、解説(8)①~⑨までに掲げる事項の全てを報告しなければならない。確報を行う時点(保護法報告対象事態を知った日から30日以内又は60日以内)において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとする。
(注1)速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる。
(注2)確報の報告期限(30日以内又は60日以内)の算定に当たっては、土日・祝日も含める。ただし、30日目又は60日目が土日、祝日又は年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とする(行政機関の休日に関する法律(昭和63年法律第91号)第2条)。
(10) 委託元への通知による例外
委託先は、個人情報保護委員会への報告義務を負っている委託元に対し、解説(8)①~⑨までに掲げる事項のうち、その時点で把握しているものを通知したときは、報告義務を免除される(第1項ただし書参照)。委託元への通知については、速報としての報告と同様に、保護法報告対象事態を知った後、速やかに行わなければならない。「速やか」の日数の目安については、個別の事案によるものの、委託先が当該事態の発生を知った時点から概ね3~5日以内である。
この場合、委託先から通知を受けた委託元が報告をすることになる。委託元は、通常、遅くとも委託先から通知を受けた時点で、保護法報告対象事態を知ったこととなり、速やかに報告を行わなければならない。
なお、通知を行った委託先は、委託元から報告するに当たり、事態の把握を行うとともに、必要に応じて委託元の漏えい等報告に協力することが求められる。
(11) 貸金業法及び金融分野ガイドラインに基づく報告(第6項及び第7項)
協会員は、その取り扱う個人である顧客等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、監督当局(財務局長若しくは財務支局長又は都道府県知事)及び本協会に速やかに報告することその他の適切な措置を講じなければならない(第6項、第11項)。
p.23 / 5
読み込み中...
個人情報の保護に関するガイドライン(安全管理措置等) - 第23頁
テキスト領域
選択中
非公開 (PII)
個人情報保護委員会の新着公告を見逃さないために

Pro プランでは会社名・機関名・キーワードを監視条件として保存し、新着掲載を継続確認できます。14日間無料で試せます。

監視機能の詳細を見る →