地方公共団体等における特定個人情報の漏えい事案等発生時の対応 規則改正(29/5/30)
もくじ
1.地方公共団体で個人番号を漏えいした場合の対応ルール大幅改正
(1)「独立行政法人等及び地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応について」
(平成 27 年特定個人情報保護委員会告示第1号)
特定個人情報保護委員会においては、「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」を平成 26 年 12 月 18 日に策定・公表した。
そのガイドラインの「第3-6 特定個人情報の漏えい事案等が発生した場合の対応」が改正された。
法改正に伴う規則改正で、平成29年5月30日以降は、地方公共団体で個人番号の漏えいがあったときは、以下の規則等に従って報告する。
(2)すでに複数の地方公共団体で個人番号の漏えいが発生
以下にあるように、地方公共団体はマイナンバーが漏えいした場合には、1から6までの対応をするとともに、個人情報保護委員会に報告をすることになろう。
その際に、「直ちに報告」、と「速やかに」に報告すべき場合の違いは、法制執務や政策法務の研修で言っている通りの違いである。
いずれにしろ、この中川総合法務オフィスのサイトでも書いておいたようにすでにいくつかの地方公共団体で漏えい事件が発生している。
十分に4つの管理をしっかりとしてほしい。
2.個人番号の漏えいなどの場合における対応手順
◆地方公共団体等は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずるものとする。
(1)組織内における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2)事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3)影響範囲の特定
(2)で把握した事実関係による影響の範囲を特定する。
(4)再発防止策の検討・実施
(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5)影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6)事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。
(7)個人情報保護委員会への報告
独立行政法人等及び地方公共団体等は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、速やかに個人情報保護委員会に報告する。
ただし、番号法第 28 条の4の規定に基づき、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成 27 年特定個人情報保護委員会規則第5号。以下「規則」という。)第2条に規定する特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態(以下「重大事態」という。)に該当する事案については、規則を根拠として個人情報保護委員会に報告することとなる。
また、独立行政法人等及び地方公共団体等は、重大事態に該当する事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を個人情報保護委員会に報告する。
(参考)規則に規定する重大事態
一 次に掲げる特定個人情報が漏えい(不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成 11 年法律第 128 号)第2条第4項に規定する不正アクセス行為をいう。)による漏えいその他番号法第 19 条各号に該当しない特定個人情報の提供を含む。)し、滅失し、又は毀損した事態
イ 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報
ロ 個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報
ハ 行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報
二 次に掲げる特定個人情報に係る本人の数が 100 人を超える事態
イ 漏えいし、滅失し、又は毀損した特定個人情報
ロ 番号法第9条の規定に反して利用された個人番号を含む特定個人情報
ハ 番号法第 19 条の規定に反して提供された特定個人情報
三 個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態
四 不正の目的をもって、個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を利用し、又は提供した者がいる事態