個人情報の漏えいは当局に報告すべき?
見出し画像

個人情報の漏えいは当局に報告すべき?

2022年4月1日から「改正個人情報保護法」がスタートします。

改正個人情報保護法では、
「漏えい事案等に対応する体制の整備」として、次の内容が新設されることになります。

個人データの漏えい、滅失、き損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態が発生したときは、当該事態が生じた旨を個人情報保護委員会(個人情報保護委員会が報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)に報告しなければならない。(法22条の2第1項)

では、どのような場合に、個人情報保護委員会への報告が義務付けされるのでしょうか?

次の4つのケースが該当します。

■報告の対象事態(個人情報保護委員会規則)

1.要配慮個人情報が含まれる個人データの漏えい、滅失、き損(以下「漏えい等」という。)が発生し、または発生したおそれがある事態(個人データの性質に着目した基準)

2.不正に利用されることにより、財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(個人データの内容(クレジットカード番号、ID・パスワード等)に着目した基準)

3.不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態(漏えい等の態様(従業員による不正な持ち出し、不正アクセス等)に着目した基準)

4.個人データに係る本人の数が1000人を超える漏えい等が発生し、または発生したおそれがある事態(漏えい等の規模に着目した基準)

さらに、次のとおり、個人情報保護委員会への報告期限が明確化されることになります。

■報告期限

【速報】
対象事案の事態を知った後、概略を速やかに報告
(知った時点から概ね3~5日以内)

【確報】
対象事案の事態を知った日から30日以内に報告

また、個人情報保護委員会への報告事案が発生した場合には、本人へ通知することが義務化されることになります。

■本人への通知(法22条の2第2項、個人情報保護委員会規則)

報告の対象事態を知った後、当該事態の状況に応じて速やかに、本人の権利利益を保護するために必要な範囲において、本人に通知しなければならない。

「お客さまの権利・利益の保護」
「改正個人情報保護法」では、この点がより強化されることになります。

個人情報ファイル7

1.漏えい等が発生し、または発生したおそれがある事態が発生した場合は、速やかに上司に報告する。

2.報告を受けた上司は、本部所管部署に速やかに報告する。

3.組織で問題を共有し、組織として問題に対応する。

以上の体制を整備し運用することで、お客さまの権利・利益を保護していきましょう。

出世アイコン2

福田秀喜(行政書士福田法務事務所)

【追伸】

この記事の内容は、YouTubeでも紹介しています。


この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
感謝!ありがとうございます!
行政書士福田法務事務所。「金融」を専門領域としたリーガルサポートを提供することで、金融機関、金融商品取引業のコンプライアンス経営を支援。金融機関での実体験にもとづき、法務知識の向上の支援などコンプライアンスサポートを専門分野として活動中。