番号法違反の事案又はそのおそれのある事案
(告示に基づく報告)【確報】
重大な事態又はそのおそれのある事案
(告示に基づく報告)【第一報】
重大な事態が現に発生
(おそれを除く)
(規則に基づく報告)【確報】
確報の法定義務
○ 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成 25
年 法 律 第 27 号 ) 第 29 条 の 4 の 規 定 に よ り 、 特 定 個 人 情 報 の 安 全 の 確 保 に 係 る 「 重 大 な 事
態」が生じたときに、個人情報保護委員会に報告することが法令上の義務になっています。
特定個人情報の漏えい事案等が発生した場合の報告について
●独立行政法人等及び地方公共団体等における
特定個人情報の漏えい事案等が発生した場合
の対応について(平成 27 年特定個人情報保護
委員会告示第1号)
●特定個人情報の漏えいその他の特定個人情報
の安全の確保に係る重大な事態の報告に関す
る規則(平成 27 年特定個人情報保護委員会規
則第5号)
1
●事業者における特定個人情報の漏えい事案等
が発生した場合の対応について(平成 27 年特
定個人情報保護委員会告示第2号)
独立行政法人等及び地方公共団体等における特定個人
情報の漏えい事案等が発生した場合の対応について
(平成27年特定個人情報保護委員会告示第1号)
地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応
特定個人情報の漏えいその他の特定個人情報の安全の
確保に係る重大な事態の報告に関する規則
(平成27年特定個人情報保護委員会規則第5号)
地方公共団体等は、特定個人情報ファイルに記録された特定 個人情報の漏えいその他の特定個人情報の安全の確保に係る 重大な事態(重大事態)が生じたときは、個人情報保護委員 会に報告するものとする。【確報】
≪重大事態≫
① 情報提供ネットワークシステム等又は個人番号利用事 務・個人番号関係事務を処理するために使用する情報 システムで管理される特定個人情報が漏えい等した事 態
② 漏えい等した特定個人情報に係る本人の数が100人を 超える事態
③ 特定個人情報を電磁的方法により不特定多数の者が閲 覧することができる状態となり、かつ閲覧された事態
④ 職員等が不正の目的をもって、特定個人情報を利用し、 又は提供した事態
≪報告内容≫
① 概要及び原因
② 特定個人情報の内容
③ 再発防止のためにとった措置
④ ①~③のほか、個人情報保護委員会が定める事項 B.番号法違反の事案又は番号法違反のおそれのある
事案を把握した場合には、事実関係及び再発防止 策等について、速やかに個人情報保護委員会に報 告する。【確報】
≪必要な措置を講ずる事項≫
① 組織内における報告、被害の拡大防止
② 事実関係の調査、原因究明
③ 影響範囲の特定
④ 再発防止策の検討・実施
⑤ 影響を受ける可能性のある本人への連絡等
⑥ 事実関係、再発防止策等の公表
⑦ 個人情報保護委員会への報告
A.右記の個人情報保護委員会規則における、重大事 態に該当する事案又はそのおそれのある事案が発 覚した時点で、直ちにその旨を個人情報保護委員 会に報告する。【第一報】
地方公共団体等は、その取り扱う特定個人情報について、漏 えい事案その他の番号法違反の事案又は番号法違反のおそれ のある事案が発覚した場合には、次の事項について必要な措 置を講ずるものとする。
※ 個人情報保護委員会へ報告する様式については、個人情報保護委員会ウェブサイトに掲載しています。
2
事業者における特定個人情報の漏えい事案等が発生し
た場合の対応について
(平成27年特定個人情報保護委員会告示第2号)
事業者における特定個人情報の漏えい事案等が発生した場合の対応
特定個人情報の漏えいその他の特定個人情報の安全の
確保に係る重大な事態の報告に関する規則
(平成27年特定個人情報保護委員会規則第5号)
事業者は、特定個人情報ファイルに記録された特定個人情報 の漏えいその他の特定個人情報の安全の確保に係る重大な事 態(重大事態)が生じたときは、個人情報保護委員会に報告 するものとする。【確報】
≪重大事態≫
① 情報提供ネットワークシステム等又は個人番号利用事 務を処理するために使用する情報システムで管理され る特定個人情報が漏えい等した事態
② 漏えい等した特定個人情報に係る本人の数が100人を 超える事態
③ 特定個人情報を電磁的方法により不特定多数の者が閲 覧することができる状態となり、かつ閲覧された事態
④ 従業員等が不正の目的をもって、特定個人情報を利用 し、又は提供した事態
≪報告内容≫
① 概要及び原因
② 特定個人情報の内容
③ 再発防止のためにとった措置
④ ①~③のほか、個人情報保護委員会が定める事項 事業者は、番号法違反の事案又は番号法違反のおそれのある
事案を把握した場合には、事実関係及び再発防止策等につい て、次ページの「事業者における特定個人情報の漏えい事案 等が発生した場合の報告概念図(重大事態の報告を除く)」 のとおり、個人情報保護委員会、認定個人情報保護団体、事 業所管大臣等に報告するよう努めてください。
事業者は、右記の個人情報保護委員会規則における、重 大事態に該当する事案又はそのおそれのある事案が発覚 した時点で、直ちにその旨を個人情報保護委員会に報告 するよう努めてください。【第一報】
※ 個人情報保護委員会へ報告する様式については、個人情報保護委員会ウェブサイトに掲載しています。 1.漏えい事案等が発覚した場合に講ずることが望まれる措置
(1) 事業者内部における報告、被害の拡大防止 (2) 事実関係の調査、原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討・実施
(5) 影響を受ける可能性のある本人への連絡等 (6) 事実関係、再発防止策等の公表
2.本告示に基づく報告
3.個人情報保護委員会規則に規定する重大事態等の関する報告
(注) 個人情報保護委員会以外の報告先等は、別途公表しています。
3
事業者における特定個人情報の漏えい事案等が発生した場合の報告概念図 (重大事態の報告を除く)
個人情報 保護委員会
※1 従 業 員100人 以 下 の 事 業 者 ( 個 人 番 号 利 用 事 務 実 施 者 を 除 く 。 ) は 、 次 の ① ~ ④ 全 て に当てはまる場合は、個人情報保護委員会への報告は要しません。
① 影響を受ける可能性のある本人全てに連絡した場合
(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
② 実質的に外部に漏えいしていないと判断される場合
③ 事実関係の調査を了し、再発防止策を決定している場合
④ 委員会規則に規定する重大事態に該当しない場合
番号法固有の規定に関する事案 委員会告示
2.(1)ア
委員会告示 2.(1)イ
速やかに報告
・個人情報保護委員会へ直接報告する事案が発生し た場合は、郵送で報告してください。
・個人情報保護委員会ウェブサイトに、報告様式や Q&A、報告先一覧を掲載しています。
http://www.ppc.go.jp/legal/policy/rouei/
● 事業者は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係、再発防止策等に
ついて、次のとおり個人情報保護委員会、認定個人情報保護団体、事業所管大臣等に報告するよう努めてください。
委員会告示:事業者における特定個人情報の漏えい事案等が発生した場合の対応について(平成27年特定個人情報保護委員会告示第2号)
委員会規則:特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則(平成27年特定個人情報保護委員会規則第5号)
4
下記以外の事業者
認定個人情報保護団体
通知
個人情報保護委員会の権限(報告徴収及び立入検 査)が事業所管大臣に委任されている分野におけ る事業者
又は
金融関連分野における個人情報保護に関するガイ ドライン若しくは医療関連分野における個人情報 保護に関するガイダンス等の適用を受ける事業者
通知 事業所管大臣、認定個人情報
保護団体、監督当局、地方公 共団体の長等
速やかに報告(※1)