プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第5章第12条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。
提出された事故報告書については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルを判断し、外部有識者を交えた委員会の審議を踏まえて、最終的な措置を行っています。また、審査中及び申請検討中事業者からの事故報告についても、本規約に基づき運用します。
JIPDEC 個人情報の取扱いに関する事故の報告について をご覧ください。
対象事業者
- プライバシーマーク付与事業者(付与事業者)
- 当協会にプライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
- 当協会にプライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)
報告の流れ
事故等が発生した場合は、発覚した日から原則として30日(以下の「3.不正の目的をもって~」の場合は60日)以内に、審査機関へ事故報告を行ってください。
また、次の事故等に該当する場合は、上記の報告に加え、「速報」として概ね発覚した日から3~5日以内に審査機関へ報告を行ってください。
- 要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態
|
なお、JIPDECは「プライバシーマーク付与に関する規約(PMK500)」に基づき、事故等の調査を実施している旨について公表することがあります。
報告内容(次項の「個人情報の取扱いに関する事故等の報告書」を使用すること)
- 報告種別
- 報告をする事業者の概要
- 報告事項
- 事態の概要
- 事故等が発生、又は発生したおそれがある個人情報の項目
- 発生事象の詳細
- 安全管理措置
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他
- 当方以外への報告について
報告書
表紙を付けて、下記の1、必要に応じて2をお送りください。表紙のフォームはこちらから入手してください。
- 個人情報の取扱いに関する事故等の報告書(Ver1.0)
- 必要に応じて関連資料を添付してください。関連資料の書式は問いません。
報告書及び関連資料の取扱い
報告書は、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えたプライバシーマーク審査会の審議を経て措置を決定するために審査業務部で利用いたします。
その結果は、プライバシーマーク付与機関であるJIPDECへ報告するため、報告書の写しを提出いたします。
当該報告書(原本)と関連資料は、審査業務部で保管、管理いたします。