個人情報取扱事業者は、漏えい等又はそのおそれのある事案が発覚した場合は、
漏えい等事案の内容等に応じて、次の①から⑤に掲げる事項について必要な措置を講じなければならない。
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤個人情報保護委員会への報告及び本人への通知
「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」が対象
個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの
1,
要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損(以下「漏えい等」)が発生し、又は発生したおそれがある事態
例)病院における診療情報や調剤情報
従業員の健康診断等の結果 等
2,不正に利用されることにより
財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
例)クレジットカード番号
送金や決済用のログインID+パス 等
3,
不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
例)不正アクセスによる漏えい
盗難、従業者の不正持ち出し 等
4,個人データに係る
本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
他の類型に該当しないもの
※高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものは対象外
※個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。
<委員会への報告の例外>
・個人データの取扱いを委託している場合委託元と委託先の双方が個人データを取り扱っているため、双方が報告する義務を負うが、委託先は委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される。
<本人への通知の例外>
・本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められる。