個人情報漏えい等の通報後、委員会やJIPDECへ第一報を入れる基準は何ですか?
A.3.3.7 緊急事態への準備について、組織外への報告について社内の解釈が割れています。
社内外より漏えい等の通報・通知を受けた後、どのような場合を基準として個人情報委員会とJIPDEC等の個人情報保護団体へ電話による第一報をすればいいのでしょうか。
また必ずしも電話による第一報が必要でない場合の、基準が曖昧に解釈されています。
初回通報後の初動として事実関係の把握、発生原因及び対応策がある程度整った後の「事故報告」と上記の電話による第一報の解釈を収束したくご連絡しました。
「重大な事態」に該当する場合や、調査に時間を要する場合は、まず「速報(電話・Webフォーム等)」を行い、その後30日以内に「確報(事故報告書)」を提出するという2段構えの対応が基本となります。
1. 「速報(第一報)」を行うべき基準
事実関係を調査中であっても、以下のケースでは「速やかに(概ね3〜5日以内目安)」電話やWebフォーム等で一報を入れます。
- 重大な事態:
1,000人超の漏えい、要配慮個人情報が含まれる事故、不正アクセスによる被害、マイナンバーを含むなど。 - 社会的影響:
本人への通知や公表を行う場合、または報道の可能性がある場合。 - 長期化の予測:
原因究明や再発防止策の策定に時間を要し、正式な「事故報告書」の提出が遅れると見込まれる場合。
2. 「事故報告書(確報)」の提出タイミング
原則として、「事後対応が完了し、再発防止策が決定した段階」で正式な書面を提出します。
- 提出期限:
事故を把握してから30日以内(不正アクセス等は60日以内)に提出する必要があります。 - 運用のポイント:
軽微な事案で、数日以内に対策まで確定できるのであれば、最初から「事故報告書」の提出のみで完結しても問題ありません。
3. 社内解釈の収束に向けたアドバイス
「電話一報が必要か」の解釈については、以下の運用を推奨します。
- 迷ったら速報:
審査機関へ一報を入れることで、その後の再発防止策の妥当性について指導を仰げるメリットがあります。 - 透明性の確保:
事故発覚後の初動において、放置せず「現在調査中である」ことを伝えるために速報を活用してください。
