ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

A.3.3.7 緊急事態への準備について

08.07.2019 | ISMS全般.  45 views

A.3.3.7 緊急事態への準備について、組織外への報告について社内の解釈が割れています。

社内外より漏えい等の通報・通知を受けた後、どのような場合を基準として個人情報委員会とJIPDEC等の個人情報保護団体へ電話による第一報をすればいいのでしょうか。
また必ずしも電話による第一報が必要でない場合の、基準が曖昧に解釈されています。

初回通報後の初動として事実関係の把握、発生原因及び対応策がある程度整った後の「事故報告」と上記の電話による第一報の解釈を収束したくご連絡しました。

以下、JIPDECへの連絡を例にお話させていただきます。

まず、JIPDECの事故発生時におけるPマーク付与事業者の対応の流れは、「Pマーク付与事業者の事故対応について」に記されているとおりになります。

この流れに沿って、「個人情報の取扱いに関する事故の報告について(「事故の報告先」の「② JIPDECへ報告する場合」)に従い報告することになります。(以下)
「報告書提出のタイミングは、事後対応が完了し、再発防止策が決定したところとお考えください。
重大な事故が発生した場合や、提出までに時間がかかる可能性がある場合は、電話等での一報をお願いします。」

「電話による第一報」が必要な場合の基準としては、自組織で事故対応はしたものの、原因究明や時間や費用等の理由で、「再発防止策」の検討及び実施に期間を要する場合だと考えられます。
再発防止策が検討され実施できるのであれば、「電話」ではなく「事故報告書」の提出となります。
ちなみに、報告後のJIPDECからの回答は、Pマーク付与事業者として実施すべき対応となります。

JIPDECホームページにあるQ&A(※11.個人情報の取扱いにおける事故の報告|よくあるご質問)などもご参考にしてください。