事業者は、マイナンバー法違反の事案又は同法違反の恐れのある事案を把握した場合、事実関係及び再発防止策等につき、次のとおり事業所管の主務大臣等又は個人情報保護委員会に報告するよう努める必要があります(重大事態又はその恐れのある事案の報告を除きます)。
1.「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27年特定個人情報保護委員会告示第2号)(以下「委員会告示」と呼ぶ)2.(1)アに基づく報告
A:個人情報取扱事業者(下記C以外の場合)
B:個人応報取扱事業者以外の事業者(主務大臣のガイドライン等に従う場合)
上記A・Bは、主務大臣(認定個人情報保護団体)又は地方公共団体の長等(主務大臣のガイドライン等に報告先として規定されている場合)に報告します。(報告を受けた主務大臣等は、個人情報委員会に通知します。)
2.委員会告示2.(1)イに基づく報告
C:個人情報取扱事業者(主務大臣が明らかでない場合又は報告する主務大臣を直ちに特定できない場合)
D:個人情報取扱事業者以外の事業者(上記B以外の場合)
上記C・Dは、個人情報保護委員会に報告します。
ただし、上記Dについては、次に掲げる四つ全てに該当する場合には、報告を要しません。
○外部に漏えいしていないと判断される場合
○影響を受ける可能性のある本人全てに連絡した場合(本人に対する連絡が困難な場合、本人が簡単に知り得る状態に置くことを含みます。)
○事実関係の調査を終え、再発防止策を決定している場合
○特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則(平成27年特定個人情報保護委員会規則第5号)(以下「規則」と呼ぶ)第2条に定める重大事態に該当しない場合
3. 委員会告示2.(1)ウに基づく報告
E:マイナンバー法固有の規定に関する事案
上記Eの場合には、個人情報保護委員会に報告します。
上記1~3の報告の方法については、個人情報保護委員会に対して直接報告する事案が発生した場合、郵送にて報告を行います。(個人情報保護委員会の所在地:〒100-0013 東京都千代田区霞が関3-2-1 霞が関コモンゲート西館32階)
また、重大事態又はその恐れのある事案については、発覚した時点で、直ちに個人情報保護委員会に対する報告(第一報)を行う必要があります。
上記「重大事態」というのは、次の場合です。
○情報提供ネットワークシステム又は個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合
○電磁的方法により、不特定多数の者が閲覧できる状態になった場合
○漏えい等した特定個人情報の本人の数が101人以上である場合
○職員等(従業員等)が不正の目的で利用し、又は提供した場合
重大事態又はその恐れのある事案が発覚した場合における報告の方法については、FAXにて報告を行います。(個人情報保護委員会のFAX番号:03-3593-7962)
その後、事実関係や再発防止策等につき、規則第3条に基づいて、個人情報保護委員会に対して郵送にて報告を行います。
平成27年12月25日 個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の報告要領について」を基に作成
なお、上記の「重大事態」に該当する「職員等(従業員等)が不正の目的で利用し、又は提供した場合」については、特定個人情報が含まれる資料を自宅に持ち帰った場合などの微妙な事案が発生する可能性が高いといえます。従業員教育を徹底したり、作成した特定個人情報取扱規程や業務フロー図を見直したりすることが重要です。ルールをつくった後は、それが遵守されているかを常に把握しておく必要があります。
特定個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の対応におけるQ&A」のQ4-4には、おおむね次のように記されています。
規則第2条第4号は、従業員が自宅で業務の続きをするために、社内規程に反して、特定個人情報を含む資料を自宅に持ち帰った場合も該当するでしょうか?
→例えば、次の事例のように、必ずしも「不正の目的をもって」とはいえない目的又は不注意で持ち出してしまった場合などは、基本的には、該当しないと考えられます。なお、次の事例の場合においても、他の重大事態に当てはまらないかを確認しなければなりません。
○従業員が外出先で取引相手よりマイナンバーが記された書類を受け入れたが、帰社途中に、その書類を収納した鞄を紛失した場合
○従業員が自宅に持ち帰った業務用のファイルに、意図せずに、特定個人情報が記された書類が混入していた場合
○個人番号関係事務に従事する従業員が、勤務時間外に入力作業を行うため、社内規程に反して、マイナンバーが含まれるデータを自宅のパソコンに送った場合