個人情報に関わる事故等が発生した場合は、指定審査機関への報告が義務づけられております。つきましては、速やかに当協会へ下記の要領でご報告ください。
なお、個人情報に関わる事故等が発生したにも関わらず付与適格性事業者からの報告がなく、外部からの指摘や当協会の調査で判明した場合は更新申請の受理をお断りすることがあります。また、現地審査の過程で判明した場合は更新審査が打ち切りになることもありますのでご注意ください。
対象事業者
- プライバシーマーク付与事業者
- 当協会にプライバシーマーク付与の審査申請をしている事業者
- 当協会にプライバシーマーク付与の審査申請することを検討している事業者
報告の判断基準
- 個人情報を漏洩した場合、または漏洩したおそれがある場合
- 個人情報または個人情報を含む情報システム機器(パソコン、記録媒体、携帯電話など)を紛失した場合、または盗難に遭った場合*1
- 個人情報が不正使用された形跡がある場合、または不正使用されたおそれがある場合
- 委託先業者で上記1~3の事例が発覚した場合*2
*1情報システム機器に安全対策・セキュリティ措置(データの暗号化、パスワード設定など)を講じてあっても、この報告の対象となります。
*2宅配便業者、郵便業者による配送途上の紛失事故も、この報告の対象となります。
報告いただく内容
- 事業者名
- 業種
- 発生日及び発覚日
- 事故の概要
- 事故対象の個人情報の媒体、項目及び件数
- 安全管理措置の実施状況
- 事故等に係る経過
- 事故発生元及び事故発生者
- (事故対象となった個人情報の)本人等への対応
- 事故の公表
- 2次被害
- 事業者による対応(再発防止策)
- 報告先
- 2次被害の有無
- 事業者による再発防止策(すでに実施されたもの及び予定されているもの)
その他特記事項(社内規程の整備状況、個人情報保護教育の実施状況、新聞報道等の有無など)
報告の方法
- 個人情報の取扱いに関する事故等の報告書(様式1)※a、b、cのいずれか
- 事故報告(様式2)
- 必要に応じて関連資料を添付してください。関連資料の書式は問いません。
注意!報告書には代表者印の押印が必要です。
個人情報の取扱いに関する事故等の報告書
報告書の取扱い
報告書は、事業者の起こした個人情報の事故等に関する欠格性を判断するために審査業務部で利用いたします。
報告いただいた内容についてはプライバシーマーク審査会で審議し、その結果を付与機関JIPDECへ報告するために報告書の写しを提出いたします。
なお、当該報告書(原本)は、審査業務部で保管・管理いたします。