【番号利用法第29条の4・平成27年個人情報保護委員会告示第2号】12-7. 組織的安全管理措置(番号利用法違反の事案又は同法違反のおそれのある事案を把握した場合における報告)【マイナンバー制度 第7章行個人情報取扱事業者による特定個人情報の保護 第2節安全管理措置】 2017/01/02
法令解説ブログバックナンバーリスト(個人情報保護法・マイナンバー法・ストレスチェック制度・議員秘書規則・女性活躍推進法)
執筆・寄稿・取材(宝島社・毎日新聞社・日本経済新聞社・小学館・Yahoo!ニュース)
著書『図解とQ&Aですっきりわかるマイナンバーのしくみ』(宝島社)=33,000部=トーハン調べ2015/11/4週間ベストセラー単行本ビジネス書6位
共著『入門 マイナンバーの落とし穴ー日本一わかりやすい解説』(毎日新聞出版)=7,000部
講演
番号利用法違反の事案又は同法違反のおそれのある事案を把握した場合における報告【第29条の4、平成27年個人情報保護委員会告示第2号】
| (特定個人情報の漏えい等に関する報告)
番号利用法第29条の4 個人番号利用事務等実施者は、個人情報保護委員会規則で定めるところにより、特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたときは、委員会に報告するものとする。
番号利用法違反の事案又は同法違反のおそれのある事案を把握した場合における報告【平成27年個人情報保護委員会告示第2号】 事業者は、その取り扱う特定個人情報に関する番号利用法違反の事案又は同法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、次のとおり報告するよう努める。 ① 報告の方法 イ 個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合 事業者が個人情報取扱事業者(個人情報取扱事業者以外の事業者が主務大臣のガイドライン等の規定に従う場合には、当該事業者を含む。)に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告する。この場合、報告を受けた主務大臣等(主務大臣のガイドライン等に報告先として規定されている保護法第77条、同法施行令第11条の規定により事務を処理する地方公共団体の長等を含む。)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた保護法第47条第1項に規定する認定団体は、委員会にその旨通知する。 なお、これらの場合、主務大臣等の求めにより個人情報取扱事業者が直接委員会へ報告しても差し支えない。 ロ 個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合 委員会に報告する。 ハ その他、個人番号の利用制限違反など番号利用法固有の規定に関する事案等の場合 委員会に報告する。 ② 報告の時期 イ ①イについては、主務大臣のガイドライン等の規定に従い、①ロ及びハについては、速やかに報告するよう努める。 ロ イにかかわらず、特定個人情報に関する重大事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を委員会に報告する。その後、事実関係及び再発防止策等について、①に従い報告する。 重大事案とは次の事項をいう。 (1) 情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。) (2) 事案における特定個人情報の本人の数が101人以上である場合 (3) 不特定多数の人が閲覧できる状態になった場合 (4) 従業員等が不正の目的で持ち出したり利用したりした場合 (5) その他事業者において重大事案と判断される場合 ハ 委員会への報告を要しない場合 個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、委員会への報告を要しない。 (1) 影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。) (2) 外部に漏えいしていないと判断される場合 (3) 従業員等が不正の目的で持ち出したり利用したりした事案ではない場合 (4) 事実関係の調査を了し、再発防止策を決定している場合 (5) 事案における特定個人情報の本人の数が100人以下の場合 |
特定個人情報の漏えい等に関する報告【第29条の4】
日本年金機構による101万人・125万件の情報漏洩事案を受けて、参議院修正に基づき第29条の4が新設され、個人番号利用事務等実施者は特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたときは、委員会に報告するものとされた。
番号利用法違反の事案又は同法違反のおそれのある事案を把握した場合における報告【平成27年個人情報保護委員会告示第2号】
事業者は、その取り扱う特定個人情報に関する番号利用法違反の事案又は同法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、次のとおり報告するよう努める。
① 報告の方法・時期
| 個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合、事業者が個人情報取扱事業者(個人情報取扱事業者以外の事業者が主務大臣のガイドライン等の規定に従う場合には、当該事業者を含む。)に該当 | イ 主務大臣のガイドライン等の規定に従って報告
ロ 主務大臣等の求めにより直接委員会へ報告 なお、イの場合において、報告を受けた主務大臣等(主務大臣のガイドライン等に報告先として規定されている保護法第77条、同法施行令第11条の規定により事務を処理する地方公共団体の長等を含む。)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた保護法第47条第1項に規定する認定団体は、委員会にその旨通知すること。 |
| 個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合 | 委員会に速やかに報告するよう努める |
| 個人番号の利用制限違反など番号利用法固有の規定に関する事案等の場合 | 委員会に速やかに報告するよう努める |
主要な主務大臣のガイドラインとして次のものが挙げられる。
(1) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成26年12月12日厚生労働省・経済産業省告示第4号)
(2) 雇用管理分野における個人情報保護に関するガイドライン(平成24年5月14日厚生労働省告示第357号)
(3) 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について(平成24年6月11日労働基準局長通達)
(4) 船員の雇用管理分野における個人情報保護に関するガイドライン(平成25年3月29日国土交通省告示第292号)
② 報告の時期の例外(特定個人情報に関する重大事案又はそのおそれのある事案が発覚した場合)
特定個人情報に関する重大事案又はそのおそれのある事案が発覚した場合時点で、直ちにその旨を委員会に報告する。その後、事実関係及び再発防止策等について、①に従い報告する。
重大事案とは次の事項をいう。
(1) 情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)
(2) 事案における特定個人情報の本人の数が101人以上である場合
(3) 不特定多数の人が閲覧できる状態になった場合
(4) 従業員等が不正の目的で持ち出したり利用したりした場合
(5) その他事業者において重大事案と判断される場合
③ 委員会への報告を要しない場合
個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、委員会への報告を要しない。
イ 影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
ロ 外部に漏えいしていないと判断される場合
ハ 従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
ニ 事実関係の調査を了し、再発防止策を決定している場合
ホ 事案における特定個人情報の本人の数が100人以下の場合
改正法施行日
① 平成27年法律第65号第4条による第29条の4新設:平成28年1月1日【平成27年法律第65号附則第1条第2号】
② 平成27年法律第65号第6条による第29条の4整備:平成29年5月30日【平成27年法律第65号附則第1条第5号、平成28年政令第405号】
