社員がスマートフォンを紛失した際、JIPDECや個人情報保護委員会への報告は?
社員が個人所有のスマートフォン紛失しました。
スマートフォンの利用は、日報やWeb勤怠ですが、社員の個人情報を含んでいます。なお、要配慮情報や個人番号、機密情報はありません。
紛失発覚後、すぐに弊社の責任者へ連絡。位置検索、リモートロックを個人で実施し、公共交通機関、最寄りの警察署へ紛失届を12時間以内に行いました。
30時間後、警察より連絡があり、無事回収できました。
社内規定に従い、緊急連絡聞き取りシートで紛失の状況、判明した携帯内の個人情報の記録。始末書提出と事故報告書は作成しました。
弊社はプライバシーマーク認定を受けております。このような場合プライバシーマーク審査機関や個人情報委員会に事故報告連絡は必要でしょうか。
ご質問の「報告の要否」について、Pマーク認定事業者の義務という観点から回答申し上げます。
結論から申し上げますと、今回のケースは「JIPDEC(または各審査機関)」への事故報告が必須となります。 また、法的な報告義務に該当する場合は、個人情報保護委員会へも直接報告する必要があります。
1. なぜ「見つかった」のに報告が必要なのか
Pマーク制度では、一般法である「個人情報保護法」よりも厳しい基準を設けています。たとえ紛失した端末が手元に戻り、第三者に閲覧された形跡がなかったとしても、「管理下から一時的にでも離れた(紛失した)」という事実自体が事故として扱われるためです。
JIPDECの公式サイトでも、以下の通り明確に回答されています。
個人情報を保存したPCを社外で紛失しましたが、後日、発見されました。第三者に使用された形跡もありません。事故報告は必要ですか。
事故報告は必要です。発見された状況等も踏まえて、事故評価いたします。
強固なセキュリティ措置を施しており、二次被害の可能性はありません。事故報告は必要ですか。
事故報告は必要です。二次被害の有無に関しては、欠格性の判断時に考慮されることとなります。
※「よくあるご質問|JIPDEC」より
2. 報告先と「個人情報保護委員会」との関係
2022年4月1日施行の改正個人情報保護法により、漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告が義務化されました。
- ① 個人情報保護委員会への「直接報告」
以下の「法的報告義務」のいずれかに該当する場合は、事業者が個人情報保護委員会へ直接、速報・確報を提出する義務があります。- 1. 要配慮個人情報(病歴など)が含まれる場合
- 2. 財産的被害(クレジットカード情報等)のおそれがある場合
- 3. 不正アクセスなど、悪意ある第三者による場合
- 4. 1,000人を超える個人のデータが関わる場合
- ② 審査機関(JIPDEC等)への「事故報告」
Pマーク認定事業者としての義務です。法律上の報告義務の有無に関わらず、「個人情報の紛失」が発生した時点で、必ず審査機関への報告が必要です。
3. JIPDECと個人情報保護委員会における事故報告(速報・確報)の対比表
以下にJIPDEC(プライバシーマーク)と個人情報保護委員会における、事故発生時の「速報」および「確報」に関する対比表を作成しました。
Pマーク認定事業者様にとっては、「法令上の義務(個人情報保護委員会)」と「認定規約上の義務(JIPDEC)」の二階建ての報告が必要になる点に注意が必要です。
| 比較項目 | 個人情報保護委員会(PPC) | JIPDEC(プライバシーマーク) |
|---|---|---|
| 報告の根拠・性質 | 法令上の義務(個人情報保護法) | 規約(契約)上の義務(PMK500) |
| 報告義務の範囲 | 法令で定める「4つの要件」に該当する場合のみ義務化。 | 全ての事故(漏えい・紛失・滅失・毀損・改ざん等)が報告対象。 |
| 速報の期限 | 事態を知った(発覚した)日から3〜5日以内。 | 事態を知った(発覚した)日から概ね3〜5日以内。 |
| 確報の期限 | 原則として発覚日から30日以内。(不正目的の恐れがある場合は60日以内) | 原則として発覚日から30日以内。(不正目的の恐れがある場合は60日以内) |
| 速報が必要な主な要件 | ①要配慮個人情報の漏えい(恐れ含む) ②財産的被害が生じる恐れがある場合 ③不正の目的をもって行われた恐れ ④本人数が1,000人を超える場合 | 左記①〜④のPPC基準に加え、 ⑤「重大な違反」があると認めた事態 ⑥マイナンバー関連(100人超やネットワーク漏えい等) |
| 報告先 | 個人情報保護委員会(または権限委任先省庁) | 付与適格決定を受けた審査機関およびJIPDEC |
| 報告方法 | PPCウェブサイトの「漏えい等報告フォーム」 | Pマークポータルサイト内の「事故報告システム」 |
- 報告義務の「基準」の違い
- 個人情報保護委員会:
全ての漏えいではなく、個人の権利利益を害するおそれが大きい「4つのケース」に該当する場合にのみ報告が義務となります(それ以外は「努力義務」)。 - JIPDEC:
認定事業者である以上、たとえ1件の誤送信や紛失であっても、個人情報の管理下から離れた場合は全件報告が義務付けられています。
- 個人情報保護委員会:
- 「おそれ」の段階での報告
両組織ともに、実際に漏えいが「確認」された時だけでなく、紛失などにより漏えいした「おそれ」がある段階で速報を出すことが求められます。 - マイナンバー(特定個人情報)の特殊性
マイナンバーが関わる事故については、JIPDECの速報基準が「本人数100人超」となるなど、通常の個人情報(1,000人超)よりも厳格に設定されています。
4. 実務でのポイント
報告を行う際、審査機関は「紛失した事実」だけでなく、「再発防止策が有効か」を評価します。以下の情報を報告書に盛り込むことで、認定への影響を最小限に抑えることが可能です。
- 「閲覧不能」の証明:
リモートロックが即座に成功したログや、端末回収時のログイン試行回数の確認結果など、「第三者に中身を見られていない客観的な証拠」を添付してください。 - BYODルールの再点検:
今回、要配慮個人情報やマイナンバー(個人番号)が含まれていなかったことは不幸中の幸いです。これを機に、私物端末(BYOD)に「保存してよい情報の範囲」を改めて社内規定で明確にしたことを報告書に記載すると、高い評価(PMSの有効な運用)に繋がります。
5. Pマーク事故報告の要点まとめ
- 報告の要否: 必要です(回収済みでも免除されません)。
- 最新のルール:
- – 「審査機関(JIPDEC等)」への報告はPマーク維持のために必須。
- – 「個人情報保護委員会」への報告は、1,000人超などの要件に該当すれば義務。
- ※注意: 現在、審査機関と委員会への報告は分離されており、それぞれに直接行う必要があります。
- 報告期限: 事故発覚から速やかに(概ね3〜5日以内が望ましい)。
- 評価のポイント:
- – 紛失から回収までの迅速な対応。
- – リモートロック等の技術的対策の有効性。
- – マイナンバーや要配慮情報の有無(今回は「無し」のため深刻度は低い)。
