サイト内検索

My Photo
March 2025
Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Recent Posts

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« クラウドサービス利用前提社会 社労務 ランサムウェア被害における公表関係... (2023.06.05 - 2023.11.18) | Main | NIST AI 100-2e2023 敵対的機械学習:攻撃と緩和策の分類と用語集 »

2024.01.04

個人情報保護委員会 クラウドサービス提供事業者による漏えい等報告の代行報告についてのQ&Aの追加と漏えい等報告書の記載例の追加 (2023.12.27)

こんにちは、丸山満彦です。

個人情報保護委員会が、

クラウドサービス提供事業者による漏えい等報告の代行報告に関し、「『個人情報の保護に関する法律についてのガイドライン』に関するQA」を更新し、

漏えい等報告書の記載例「⑤(クラウド事業者による代行報告事例)」を追加

していますね。。。

例えば、SaaS事業者で漏えい事案が発生し、SaaS利用者が個人情報漏えいについて個人情報保護委員会に報告をすることが必要な場合、SaaS利用者が、発覚の経緯・発覚後の事実経過を報告する必要が生じるが、その報告の内容については、該当するSaaS利用者がすべて同一内容をSaaS事業者に聞かなければならないことになるため、本来SaaS利用者がすべき報告を、SaaS事業者がSaaS利用者に代わって実施することを認めることを明確にするとともに、その場合の報告書の記載例を公表しているのだろうと思います。

「社労務」の事案があってのことだとは思われます。。。情報漏えいの恐れがある企業が約3,400であったので、個別に対応した場合の社会全体の事務作業量は膨大になってしまいますよね。。。(特に、受け付ける側の個人情報保護委員会...)

クラウドサービス提供事業者が漏えい等の代行報告をすることは、両者+個人情報保護委員会にとって合理的な場合が多いと思いますが、これ利用約款への記載ってどうするんでしょうかね。。。

 

個人情報保護委員会

・2023.12.27 クラウドサービス提供事業者による漏えい等報告の代行報告に関し、「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」を更新しました

・[PDF]  Q&Aの追加・更新(令和5年12月)

1 ガイドライン(通則編)

1-6 個人データの漏えい等の報告等(法第 26 条関係)(令和3年9月追加)

(報告義務の主体)

Q6-19 クラウドサービス提供事業者が、個人データを取り扱わないこととなってい る場合(Q7-53 参照)において、報告対象となる個人データの漏えい等が発生した ときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれ ぞれ報告義務を負いますか。

A6-19 クラウドサービス提供事業者が、個人データを取り扱わないこととなっている 場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサー ビスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。また、クラウドサービス提供事業者は、法第 26 条第1項の報告 義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。

(令和5年 12 月更新)

 

・2023.12.27 漏えい等報告書の記載例「⑤(クラウド事業者による代行報告事例)」を追加しました。

・[PDF] ⑤(クラウド事業者による代行報告事例)

20240104-43346

 

 

 

参考:個人情報保護法 第26条

(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。


まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.04 クラウドサービス利用前提社会 社労務 ランサムウェア被害における公表関係... (2023.06.05 - 2023.11.18)

 

・2021.02.17 クラウドは竹 クラウド集中リスク

こういう視点も...

・2021.02.19 除草剤をまけば強い植物だけが生き残る

 

2024.01.04 04:35 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in クラウド |

« クラウドサービス利用前提社会 社労務 ランサムウェア被害における公表関係... (2023.06.05 - 2023.11.18) | Main | NIST AI 100-2e2023 敵対的機械学習:攻撃と緩和策の分類と用語集 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« クラウドサービス利用前提社会 社労務 ランサムウェア被害における公表関係... (2023.06.05 - 2023.11.18) | Main | NIST AI 100-2e2023 敵対的機械学習:攻撃と緩和策の分類と用語集 »