プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第5章第12条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。
報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知します。
事故報告については、JIPDEC 個人情報の取扱いに関する事故の報告について をご参照ください。
対象事業者
- プライバシーマーク付与事業者(付与事業者)
- 当協会にプライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
- 当協会にプライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)
事故報告の期限(速報・確報)
事故等が発生した場合には、原則として発覚日から30日(不正の目的をもって行われたおそれがある事故等の場合は60日)以内に、当協会へ事故報告(「確報」)を行ってください。
速報・確報の判断フローはJIPDECのサイトでご確認ください。
速報が必要な事故等
次のいずれかに該当する事故等が発生した場合には、「速報」として発覚日から概ね3~5日以内に当協会に事故報告を行ってください。
- 要配慮個人情報が含まれる事故等
- 不正に利用されることにより財産的被害が生じるおそれがある事故等
- 不正の目的をもって行われたおそれがある事故等
- 個人データに係る本人の数が1,000人を超える事故等
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
※いずれも事故等が発生したおそれがある事態も含める
|
特定個人情報(マイナンバー)に関する事故等
事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれており、次の事故等に該当する場合は、「速報」として発覚日から概ね3~5日以内に審査機関へ報告を行ってください。
- 情報提供ネットワークシステム等からの漏えい、滅失、き損
- 不特定多数の者に閲覧された
- 不正の目的による漏えい、滅失、き損
- 100人を超える場合
|
報告書
表紙を付けて、下記の1及び2、必要に応じ3をお送りください。表紙のフォームはこちらから入手してください。
- 表紙と個人情報の取扱いに関する事故等の報告書【速報・確報用(1,2いずれの事故でも使用)(Ver1.1)
使用場面:速報が必要な事故及び当該事故の確報、又は特定個人情報に関する事故等の確報
- 表紙と特定個人情報の取扱いに関する事故等の報告書【速報用】(Ver1.0)
使用場面:特定個人情報に関する事故等の速報
- 必要に応じて関連資料を添付してください。関連資料の書式は問いません。
- JIPDECから記入例が公開されました。参考にしてください。
ファイル名は、【プライバシーマーク登録番号(8桁)-日付(YYYYMMDD).pdf】としてください。
事故等の改善報告
事故等の措置通知において、JIPDEC又は当協会より再発防止策の実施状況等の報告を求められた場合は、措置通知の受領日より2か月以内にその実施状況等について報告を行ってください。
事故等の改善報告の詳細については、JIPDECサイトをご確認ください。
※事業者様独自の様式でご提出いただいても問題ありません。
ファイル名は、【プライバシーマーク登録番号(8桁)-事故措置通知日(YYYYMMDD)-改善報告書.docx】としてください。
報告書及び関連資料の取扱い
- 提出された事故報告書は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するために利用します。また、概要作成や注意喚起の為に内容を利用することがあります。
- 報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、JIPDECプライバシーマーク推進センター並びに当協会にて情報を共有します。
- JIPDEC認定個人情報保護団体対象事業者の場合には、認定個人情報保護団体事務局へ共有します。
- JIPDECは「プライバシーマーク付与に関する規約(PMK500)」に基づき、事故等の調査を実施している旨について公表することがあります。