マイナンバーが漏えいした場合はどうすればよいか
IT・情報セキュリティマイナンバーの管理には十分注意していますが、万が一漏えいした場合、どのような対応を取ればよいか教えてください。
「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27 年特定個人情報保護委員会告示第2号)に努力義務として定められた内容を参考に、①事業所内での報告、②事実関係の調査、原因の究明、③影響範囲の特定、④再発防止策の検討・実施、⑤影響を受ける可能性のある本人への連絡等、⑥事実関係、再発防止策等の公表に努めてください。
また、事案によって主務大臣、個人情報保護委員会への報告が必要となります。
社内規程のひな型、報告様式については本文末尾を参照ください。
解説
目次
漏えい事案等が発生した場合の対応
対応について定めた告示
漏えい事案等が発生した場合の対応については、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27年特定個人情報保護委員会告示第2号、以下「告示」といいます)において、事業者における「特定個人情報の漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案」(以下「特定個人情報の漏えい事案等」といいます)が発覚した場合の対応について定めています。
この告示は、個人情報保護委員会が定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(平成26年特定個人情報保護委員会告示第5号。以下「ガイドライン」といいます)の「(別添)特定個人情報に関する安全管理措置 (事業者編)」の「第3-6 特定個人情報の漏えい事案等が発生した場合の対応」を受けて個人情報保護委員会が定めたものです。
ガイドラインでは対象となっていない、特定個人情報の漏えい事案以外の場合(収集制限、利用制限違反等)や漏えいのおそれがある事案なども対象となっているので、取扱規程においては、これらの場合の対応についても定めた方がよいでしょう。
告示に定められた努力義務
告示においては、事業者は以下の対応を講ずることが「望ましい」(努力義務)とされています。
- 事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。 - 事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合 には、その原因の究明を行う。 - 影響範囲の特定
2で把握した事実関係による影響の範囲を特定する。 - 再発防止策の検討・実施
2で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。 - 影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り 得る状態に置く。 - 事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係及び再発防止策等について、速やかに公表する。
事業者内部における報告、被害の拡大防止
いわゆるインシデント・レスポンスのことです。具体的には、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます。
影響範囲の特定
「把握した事実関係による影響の範囲を特定する」とは、例えば、漏えい事案の場合は、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。
影響を受ける可能性のある本人への連絡等
「本人が容易に知り得る状態に置く」とは、本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。
「事案の内容等に応じて」とは
「5 影響を受ける可能性のある本人への連絡等」および「6 事実関係、再発防止策等の公表」について、「事案の内容等に応じて」とされていますが、例えば、紛失したデータを第三者に見られることなく速やかに回収した場合や高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が 侵害されていないと認められる場合等には、本人への連絡等や公表を省略することも考えられます。
当局への報告
(出典:個人情報保護委員会作成資料に加筆)
主務大臣のガイドライン等において報告対象となる事案の場合
当局への報告に関しては「個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合」に、事業者が個人情報保護法上の個人情報取扱事業者に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告することになります。
個人番号の利用制限違反など番号法固有の規定に関する事案等の場合には、個人情報保護委員会に速やかに報告することを要します。
事業者が個人情報保護法上の個人情報取扱事業者ではない場合(過去6か月間5,000人以下の個人情報のみを事業の用に供している場合)に、以下の全ての要件を満たす場合には報告することを要しません(図中※)。
- 影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む)
- 外部に漏えいしていないと判断される場合
- 事実関係の調査を了し、再発防止策を決定している場合
- 「重大事態」に該当しない場合
重大事態に該当する事案
番号法違反の事案または番号法違反のおそれのある事案のうち、「重大事態」に該当する事案について、事業者は、番号法 28 条の4の規定に基づき、個人情報保護委員会に報告する必要があります(義務的報告)。
個人情報保護委員会の「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(以下「規則」といいます)において、「重大事態」とは、以下のいずれかの事由とされています。
- 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報等が漏えいし、滅失し、又は毀損した事態
- 漏えいし、滅失し、又は毀損した特定個人情報や利用制限違反や提供制限違反の特定個人情報に係る本人の数が100人を超える事態
- 保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態
- 不正の目的をもって、個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を利用し、又は提供した者がいる事態
これとは別に、告示において、事業者は「重大事態に該当する事案又はそのおそれのある事案が発覚した時点」で、ただちにその旨を個人情報保護委員会に報告するよう努めることとされています(努力義務)。
すなわち、事業者は、「重大事態に該当する事案又はそのおそれのある事案」が発覚した場合には、告示に基づき、第一報としてただちに個人情報保護委員会に報告する努力義務を負い、「重大事態」が発生した場合には規則に基づいて個人情報保護委員会に報告する義務を負うことになります。
(出典:個人情報保護委員会作成資料)
社内規程のひな型と報告様式
漏えい時の対応を定める社内規程の整備、個人情報保護委員会への報告様式については以下をダウンロードのうえ、活用ください。
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー