個人データ漏えい等への対応手続にかかる社内規程
第1条 目的
本規程は、●●株式会社(以下「当社」という。)が、個人情報の保護に関する法律(以下「個人情報保護法」という。)および行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)に基づき、個人データ(当社が取得し、又は取得しようとしている個人情報であって、当社が個人データとして取り扱うことを予定しているものを含む。)又は特定個人情報の漏えい、滅失、毀損(以下併せて「漏えい等」という。)に関して報告対象事態が発生した場合における当社の対応手続を定めるものである。
第2条 定義
- 「漏えい」とは、個人データが外部に流出することをいう。
- 「滅失」とは、個人データの内容が失われることをいう。
- 「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になることをいう。
第3条 対象とする事案
当社が取り扱う個人データ又は特定個人情報の漏えい等において、次に掲げる事項(但し、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じているものを除く。以下「報告対象事態」という。)を知ったときは、個人情報保護委員会に報告するものとする。
- 個人データ
- 要配慮個人情報が含まれる場合(又はそのおそれ)
- 不正に利用されることにより財産的被害が生じるおそれがある場合(又はそのおそれ)
- 不正の目的をもって行われたおそれがある当社及び当社委託先に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生した場合(又はそのおそれ)
- 個人データに係る本人の数が1,000人を超える場合(又はそのおそれ)
- 特定個人情報
- 次に掲げる特定個人情報
- 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報
- 個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報
- 行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報
- 次に掲げる事態
- 不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって、特定個人情報が利用され、又は利用されたおそれがある事態
- 不正の目的をもって、特定個人情報が提供され、又は提供されたおそれがある事態
- 特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態
- 次に掲げる特定個人情報に係る本人の数が100人を超える事態
- 漏えい等が発生し、又は発生したおそれがある特定個人情報
- 番号法第9条の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報
- 番号法第19条の規定に反して提供され、又は提供されたおそれがある特定個人情報
- 次に掲げる特定個人情報
第4条 事故発生時の対応手順
報告対象事態が発生した場合は、以下のような観点を踏まえ必要な措置を講じる。
- 第一報
当社の従業員は、漏えい等の事案の発生を認識した場合には、個人データの取扱いに関する責任者(以下「責任者」という。)に報告をしなければならない。 - 事業者内部における報告及び被害の拡大防止
責任者は、前項の第一報があった場合、速やかに漏えい等の事案の防止その他の暫定措置を講ずるように関係部署に対して指示をする。 - 経営陣への報告
責任者は、必要と認められる場合、直ちに、代表取締役及び関係担当取締役に対して報告を行う。 - 事実関係の調査及び原因の究明
責任者は、関係部署と連携の上、以下の観点において漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。- 漏えい等があった個人情報を取扱う部署及び担当者の特定
- 漏えい等のルートの解明
- 漏えい等の有無の確認(漏えい等していた場合には、漏えい先の特定を含む。)
- 漏えい等の対象となる本人、情報の項目及び人数の特定
- 影響範囲の特定
責任者は、前条で把握した事実関係に関して、漏えい等の対象となる情報の本人の数、漏えいした情報の内容、漏えいした原因等を踏まえ、影響範囲を特定する。 - 再発防止策の検討及び実施
責任者は、本条第5項で究明した原因及び前項で特定した影響範囲を踏まえ、再発防止策を検討し、速やかに実施する。 - 個人情報保護委員会への報告及び本人への通知
責任者は、第5条及び第6条に従い、個人情報保護委員会への報告及び本人への通知を行う。 - 事実関係及び再発防止策の公表
責任者は、漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について公表するか否か速やかに検討する。
第5条 個人情報保護委員会への報告
- 当社は、報告対象事態を知ったときは、5日以内に、個人情報保護委員会に以下の事項のうち、その時点で把握している当該事態に関する事項を個人情報保護委員会所定の様式により報告しなければならない(速報)
- 概要
- 個人データ/特定個人情報の項目
- 個人データ/特定個人情報に係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
-
当社は、報告対象事態を知った日から30日以内(第3条第1項(3)の場合には60日以内)に、前項に掲げる当該事態に関する事項を個人情報保護委員会所定の様式により記載の事項を個人情報保護委員会に報告しなければならない(確報)。
【個人情報保護委員会】
報告用リンク :https://www.ppc.go.jp/personalinfo/legal/leakAction/
報告用FAX :03-3507-4560
問合せ用TEL:03-6457-9685
第6条 本人への通知
- 当社は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において以下の事項を通知するものとする。
- 概要
- 漏えい等が発生し、又は発生したおそれがある個人データの項目
- 原因
- 二次被害又はそのおそれの有無及びその内容
- その他参考となる事項
- 前項にかかわらず、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合には本人への通知を要しない。
第7条 報告体制
- 「●●」において、定めるとおりとする。
※上長や部長が不在であっても、責任者への報告が遅れることがないように、報告体制(図表等)を整備してください。 - 報告体制及び報告先は、必要に応じ見直しを行うこととする。
附則
本規程は、令和●年●月●日から施行する。