« 表面的な効率化を求めるとシステムは脆くなる | Main | ISMS法規適合性ガイド公表 »

2005.04.18

個人情報漏えい 所管省庁に報告する場合の課題

 こんにちは、丸山満彦です。個人情報保護法が施行されて変わったことの一つは、企業が個人情報を漏えいした場合に所管省庁に報告しなければならなくなったことですね。これは、法律で要求されているわけではないですが、法律に基づき閣議決定された政府の基本方針に謳われ、各省庁のガイドラインに規定されていますね。でも具体的にどうするのあかなぁ・・・

 
 各省庁ガイドラインでは、個人情報の漏えい等の事案が発生した場合の対応として、所管省庁への報告、本人への通知、社会への報告等が規定されている場合が多いですね。それぞれどの順番で対応すべきか?について、各省庁ガイドラインの文言を以前比べました。参考にしてください。

漏えい事故!! 直ちに、速やかに、遅滞なく (2005.02.20)

 個人情報の漏えい等の事案が発生した場合に所管省庁に報告する際に悩むのは、
どの程度の事案の場合に報告をしなければならないのか
どのタイミングで報告をしなければならないのか
どのような内容について報告をしなければならないのか
受託者として委託者からの個人情報を漏えいした場合の報告はどのようにすればよいのか
 ですね。

①について
・顧客情報が数件入っているノートパソコンを紛失した。顧客情報にアクセスするためには、3つのパスワード、指紋、ICカードが必要である。主務大臣に報告する必要があるか
・ハードディスクレスのノートパソコンを紛失した。担当者の設定ミスで、本人確認せずに本社サーバの顧客情報にアクセスできるらしい(実際はありえないだろうけど・・・)。本社サーバの顧客情報にアクセスされた形跡はない。
・取引先の個人情報が入った会社貸与の携帯電話を紛失した。

②について
・本社サーバの顧客情報に通常はない時間外アクセスが行われている。アクセスしている人は正当な権限のある人である。
・本人に確認したところ、アクセスしていないと言っている。ただし、入退館の記録から会社にいたのは明白である。

③について参考になりそうなこと・・・
総務省の様式 電気通信個人情報保護推進センター様式 word
経済産業省の様式 日本スーパーマーケット協会様式 word】【記入例pdf
農林水産省の様式 農林水産省対応要領

④について
・受託者として委託先から預かった個人情報が漏えいした場合の対応で、委託先が所管省庁に報告することを拒んだ場合。


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 表面的な効率化を求めるとシステムは脆くなる | Main | ISMS法規適合性ガイド公表 »

Comments

丸山様、いつもお世話になっています。
さて、本件でご指摘のパターン以外に、普通の企業を悩ましている
ものとしてこういうものがあります。

 ・サービス等に関する申込書など書類単票の紛失
 ・PC紛失に伴うメーラー上のメールのやりとり

金融・通信・信用分野などでは、前者も報告せよという指導があるようです。
普通の経済産業分野の企業の場合は判断が難しいです。
経済産業省にまともに聞くと、「どんな微細な事故でも報告していただきたい」と言われます。
また、法やガイドラインを読むと「個人データ」には20条の安全管理措置の実施が必要になり、
ここに官公庁への報告の「努力義務」がかれています。
しかし、「個人情報」の場合は、20条義務は無いので報告の「努力義務」すらない、
と考えるというやり方もあります。
そう考えると「個人データ」になる前に単票の紙データは「個人情報」となり、
漏洩についての義務はないということなります。
これって、丸山さん的には正しいとお考えになりますか?

後者の方のメーラー上のメールのやりとりですが、前者と同様に「個人データ」ではなく、
「個人情報」と考えれば、報告の義務は無いことになります。
ただし、個人データが添付書類として添付されていない、および、メーラー上に
メールアドレス帳が生成されていない、ことが前提になりますが。

以上は、正しいでしょうか?

Posted by: 吉田洋 | 2005.04.18 at 13:29

吉田様、コメントありがとうございます。個人情報保護法に基づく勧告、命令とは別に、設置法に基づく行政指導というのもありますね。行政指導が恣意的に行われないように、各省庁がガイドラインを作成したと考えることもできます。
 もちろん、法律に反していない限り行政機関は一民間人の自由を制限することができないので、ガイドラインに違反していても法律に違反していない限り罰金はないですね。
 ただ、行政機関の公表しているガイドラインは、パブリックコメントに付して民意を汲み取って作成されているものなので、適法なものである限りそれなりの配慮をすべきですね。

Posted by: 丸山満彦 | 2005.04.18 at 17:00

 丸山様、お返事感謝します。
 あまり、丸山様の邪魔をしたくないので、細かいことは書きませんが、こういう例があります。
 他社企業の担当者に聞いた話です。
 ある省庁は、パブコメで「公表は各企業の判断で可能なかぎり」と答えています。
 しかし、その省庁に事故報告に行くと、実際は「報告していただいたものは全て公表していただきます」と、
うむを言わせず、言われるということです。
 これって、丸山様の指摘される「行政指導が恣意的に行われている」
ということにならないでしょうか?

Posted by: 吉田洋 | 2005.04.18 at 22:56

吉田様、コメントありがとうございます。誰でも勘違いなど過ちがありえます。政府の職員でも同じです。もし、間違っていると思うのであれば、担当者に確認をすればよいと思います。 行政に対しては企業は萎縮してしまうことが多いと思いますが・・・

Posted by: 丸山満彦 | 2005.04.19 at 00:37

こんにちは。
こちらのエントリーを参考にして私のblogのエントリーを書かせていただきました。トラックバックもさせていただきました。よろしくお願いします。

Posted by: Miki | 2005.04.19 at 11:53

Mikiさん、コメントありがとうございます。別にトラックバックにコメントをして、コメントにコメントをしないというわけではないのですが・・・。
 ブログを読ませていただきましたが、なかなか面白いですね・・・経験値とか・・・、頑張れの話とか・・・でも、大変そうなこともあるようで・・・
 これからもよろしくお願いします(何を・・・という話もありますが・・・)。

Posted by: 丸山満彦 | 2005.04.19 at 23:10

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/3749810

Listed below are links to weblogs that reference 個人情報漏えい 所管省庁に報告する場合の課題:

» 【NIKKEI NET】日本郵船、履歴書122人分を紛失 [美味しい場所美味しい物・よい買い物よい人たち]
4/7に日本郵船の社員が持ち出し許可取得済みの書類(履歴書122人分)を自宅への帰宅途中で紛失したそうです。日本郵船のHPにはプライバシーポリシーが掲載されていませんが、やはり危機管理に対する意識が薄いのでしょうか・・・。 ---------------------------------------... [Read More]

Tracked on 2005.04.19 at 11:51

« 表面的な効率化を求めるとシステムは脆くなる | Main | ISMS法規適合性ガイド公表 »