全体の目次
個人情報の保護に関する法律についてのガイドライン(通則編)
3 個人情報取扱事業者等の義務
> 3-5 個人データの漏えい等の報告等(法第26条関係)
> 3-5-3 個人情報保護委員会への報告(法第26条第1項関係)
> 3-5-3-2 報告義務の主体
> 3-5-3-3 速報(規則第8条第1項関係)
> 3-5-3-4 確報(規則第8条第2項関係)
報告義務の主体
漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。
委託元への通知による例外
個人データの取扱いを委託している場合、委託元と委託先の双方が個人データを取り扱っていることになるため、原則として委託元と委託先の双方が報告する義務を負う。 この場合、委託元及び委託先の連名で報告することができる。 ただし、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される委託されていない個人データの場合
委託元から委託先にある個人データ(個人データA)の取扱いを委託している場合で、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、委託元において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになる速報
個人情報取扱事業者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければならない
報告を受理する権限の事業所管大臣への委任
個人情報保護委員会が法第147条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告する。 事業所管大臣に報告する場合、報告期限は個人情報保護委員会に報告する場合と同様である。「知った」時点と「速やか」の目安
報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されるが、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とする。「速やか」の日数の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内である個人情報保護委員会への報告については、次の(1)から(9)までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りる。
-
報告事項
- (1)概要
- (2)漏えい等が発生し、又は発生したおそれがある個人データの項目
- (3)漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- (4)原因
- (5)二次被害又はそのおそれの有無及びその内容
- (6)本人への対応の実施状況
- (7)公表の実施状況
- (8)再発防止のための措置
- (9)その他参考となる事項
報告事項の詳細
-
(1)「概要」
当該事態の概要について、発生日、発覚日、発生事案、発見者、規則第7条各号該当性、委託元及び委託先の有無、事実経過等を報告する。
-
(2)「漏えい等が発生し、又は発生したおそれがある個人データの項目」
漏えい等が発生し、又は発生したおそれがある個人データの項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
-
(3)「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数について報告する。
-
(4)「原因」
当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。
-
(5)「二次被害又はそのおそれの有無及びその内容」
当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。
-
(6)「本人への対応の実施状況」
当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
-
(7)「公表の実施状況」
当該事態に関する公表の実施状況について報告する。
-
(8)「再発防止のための措置」
漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
-
(9)「その他参考となる事項」
上記の(1)から(8)までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。
確報
個人情報取扱事業者は、報告対象事態を知ったときは、速報に加え(※1)、30日以内(※2)に個人情報保護委員会に確報を報告しなければならない。30日以内(※2)は報告期限であり、可能である場合には、より早期に報告することが望ましい
(※1) 速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる。
(※2)規則第7条第3号の事態においては60日以内。同号の事態に加え、同条第1号、第2号又は第4号の事態にも該当する場合も60日以内(報告対象となる事態参照)
報告を受理する権限の事業所管大臣への委任
個人情報保護委員会が法第147条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告する。 事業所管大臣に報告する場合、報告期限は個人情報保護委員会に報告する場合と同様である。「知った」時点について
報告期限の起算点となる「知った」時点については、速報と同様に、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定(※3)に当たっては、その時点を1日目とする(※3) 確報の報告期限(30日以内又は60日以内)の算定に当たっては、土日・祝日も含める。ただし、30日目又は60日目が土日、祝日又は年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とする(行政機関の休日に関する法律(昭和63年法律第91号)第2条)