イ　第28条第１項第３号「過去の個人情報ファイルの取扱いの状況」を評価書の記載事項としていることを反映しているため、「特定個人情報」ではなく「個人情報」としている。

ロ　特定個人情報保護評価書において「重大事故」という表現が用いられるもの

(1) しきい値判断項目「評価実施機関における特定個人情報に関する重大事故の発生の有無」

(2) 重点項目評価書 様式 Ⅲ７リスク「②個人情報に関する重大事故の発生」

(3) 全項目評価書 様式 Ⅲ７リスク１「⑨個人情報に関する重大事故の発生」

イ　配送業者の責任による事故など、評価実施機関の責めに帰さない事由によるものであって、評価実施機関において再発防止策を策定することは困難であると認められるもの。ただし、配送業者による事故の場合であっても、（特定）個人情報や事務の性質等を踏まえ、より慎重な配送方法を選択することが求められるにもかかわらず、簡易な配送方法を選択したことにより事故が発生した場合など、評価実施機関が（特定）個人情報の取扱いに関してより慎重な措置を講じていれば事故の未然防止が図られたと考えられるものは重大事故に当たる。

ロ　通常想定し難い規模の自然災害（大地震等）による（特定）個人情報の滅失、毀損等。

ハ　評価実施機関が特定個人情報を外部のデータセンターに委託して保管し、評価実施機関が契約により当該データセンターを監督するとともに、当該データセンターが十分なセキュリティ対策を講じているにもかかわらず、何者かが当該データセンターに侵入し、当該データセンターの情報を保管しているサーバー等を盗難する場合。ただし、パソコンやUSBメモリ等の盗難等については、一般的に、評価実施機関の責めに帰す場合が多く、重大事故に該当する場合が多いと考えられる。

ニ　特定個人情報に関する重大事故を発生させると、当該重大事故が発生した事務のみならず評価実施機関のほかの事務のしきい値判断にも影響を与え、しきい値判断の結果が変わって新たに重点項目評価又は全項目評価の実施が義務付けられる場合には、評価を再実施することとなる。これは、重大事故を発生させた評価実施機関が、当該事務のみならず、全体として特定個人情報の取扱いについて見直す必要があると考えられるためです。