プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第5章第12条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。
報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知します。
事故報告については、JIPDEC 個人情報の取扱いに関する事故等の報告についてをご参照ください。
対象事業者
- プライバシーマーク付与事業者(付与事業者)
- 当協会にプライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
- 当協会にプライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)
事故報告の種別(速報・確報)と期限
- 事故等が発生した場合には、原則として発覚日から30日(不正の目的をもって行われたおそれがある事故等の場合は60日)以内に、既定のフォームによる報告書を「確報」として提出してください。
- ただし、発生した事故が、下記「速報が必要な事故等」に該当する場合は、発覚日から概ね3~5日以内に、その時点で判明した情報を記載した報告書を「速報」として提出し、その後、すべての必要項目を記載した報告書を「確報」として上記期限内に提出してください。
速報が必要な事故等
下記に該当する場合は、発覚日から概ね3~5日以内に「速報」の提出が必要になります。
※事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれているかどうかによって該当条件が異なりますのでご注意ください。
詳細はJIPDECの「速報・確報の判断フロー」をご参照ください。
A) 特定個人情報が含まれていない場合
次のいずれかに該当する事故等については、「速報」の提出が必要になります。
- 要配慮個人情報が含まれる事故等
- 不正に利用されることにより財産的被害が生じるおそれがある事故等
- 不正の目的をもって行われたおそれがある事故等
- 個人データに係る本人の数が1,000人を超える事故等
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
※いずれも事故等が発生したおそれがある事態も含める
|
B) 特定個人情報が含まれている場合
次のいずれかに該当する事故等については、「速報」の提出が必要になります。
- 情報提供ネットワークシステム等からの漏えい、滅失、き損
- 不特定多数の者に閲覧された
- 不正の目的による漏えい、滅失、き損
- 100人を超える場合
※いずれも事故等が発生したおそれがある事態も含める
|
報告書
下記の1及び2、必要に応じて3をお送りください。
- 表紙
表紙のフォームはこちらから入手してください。
- 報告書
以下のうち該当するものをダウンロードしてご記入ください。
※ファイル名は、【プライバシーマーク登録番号(8桁)-日付(YYYYMMDD).pdf】としてください。
- 関連資料
必要に応じて関連資料を添付してください。関連資料の書式は問いません。
事故等の再発防止策報告書
事故等の措置通知において、JIPDEC又は当協会より再発防止策の実施状況等の報告を求められた場合は、措置通知の受領日より2か月以内にその実施状況について報告を行ってください。報告用フォームは下記よりダウンロードしてください。
※事業者様独自の様式でご提出いただいても問題ありません。
※ファイル名は、【プライバシーマーク登録番号(8桁)-事故措置通知日(YYYYMMDD)-再発防止策報告書.docx】としてください。
詳細については、JIPDECサイトをご確認ください。