プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第5章第12条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。
報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知します。
事故報告については、JIPDEC「事故等の報告」をご参照ください。
※令和6年10月31日以降、事故等の報告は、JIPDECプライバシーマーク推進センターが運営する「Pマークポータルサイト」経由で行っていただきます。
対象事業者
- プライバシーマーク付与事業者(付与事業者)
- 当協会にプライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
- 当協会にプライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)
事故報告の種別(速報・確報)と期限
- 事故等が発生した場合には、原則として発覚日から30日(不正の目的をもって行われたおそれがある事故等の場合は60日)以内に、「確報」として提出してください。
- ただし、発生した事故が下記「速報が必要な事故等」に該当する場合は発覚日から概ね3~5日以内に「速報」として事故報告を行い、その後、上記期限内に「確報」として事故報告を行ってください。
速報が必要な事故等
下記に該当する場合は、発覚日から概ね3~5日以内に「速報」の提出が必要になります。
※事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれているかどうかによって該当条件が異なりますのでご注意ください。
詳細はJIPDECの「速報・確報の判断フロー」をご参照ください。
A) 特定個人情報が含まれていない場合
次のいずれかに該当する事故等については、「速報」の提出が必要になります。
- 要配慮個人情報が含まれる事故等
- 不正に利用されることにより財産的被害が生じるおそれがある事故等
- 不正の目的をもって行われたおそれがある事故等
- 個人情報に係る本人の数が1,000人を超える事故等
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
※いずれも事故等が発生したおそれがある事態も含める
|
B) 特定個人情報が含まれている場合
次のいずれかに該当する事故等については、「速報」の提出が必要になります。
- 情報提供ネットワークシステム等からの漏えい、滅失、き損
- 不特定多数の者に閲覧された
- 不正の目的による漏えい、滅失、き損
- 100人を超える場合
※いずれも事故等が発生したおそれがある事態も含める
|
事故等の報告
Pマークポータルサイトから事故報告を行ってください。
事故等の再発防止策報告
事故等の措置通知において、JIPDEC又は当協会より再発防止策の実施状況等の報告を求められた場合は、以下の手順にて、措置通知の受領日より2か月以内にその実施状況について報告を行ってください。
問合せ先
一般社団法人 情報サービス産業協会 審査業務部 事故対応窓口
電話番号:03-5289-7656 (直通)
電子メール:jiko_pms[アットマーク]jisa.or.jp([アットマーク]は@に変更すること)
Pマークポータルサイトについては、下記にご連絡ください。
一般財団法人日本情報経済社会推進協会 プライバシーマーク推進センター
電話番号:03-5860-7563