【編集中】個人情報の漏えい時の企業が取るべき対応について
まえがき
企業が個人データを漏洩するインシデントを発生させた場合、どのような対応を取る必要があるのか、また、どのようなデータであれば個人情報保護委員会への報告や、プレスリリースによる公表を実施しなくてよいのかをまとめる。
個人データの漏えい等の事案が発生した場合に取るべき措置について
対象となるデータ
・個人データ(特定個人情報に係るものを除く)
・加工方法等情報(匿名加工情報の加工の方法に関する情報等)
(参考)個人データとは
個人データ:「個人情報」のうち、個人情報データベース等に含まれるもので、開示、訂正、消去の権限を有し、6ヶ月を超えて保有するもの
※わが国の個人情報保護法では、取得時から 6 か月以内に消去することとなる個人デ
ータは、保有個人データには該当しない。*1
「個人情報」ってなんだろう? 事業者の皆さん!!その取り扱いで大丈夫?“個人情報 ”
https://www.meti.go.jp/policy/it_policy/privacy/100401_pamphlet_meti.pdf
①個人情報保護委員会への報告について
「努力義務」として、企業は個人情報保護委員会へ報告を行う必要がある。
次のページから報告:漏えい等の対応(個人情報) |個人情報保護委員会
②公表(プレスリリース)について
「望ましい対応」として、事実関係及び再発防止策等の公表を行う必要がある
⇒現行の個人情報保護法((2022年春施行予定の改正個人情報保護法では変更となるでは、両方ともマストではない。
事業者において個人データの漏えい等の事案が発生した場合等の対応(概要)
報告先の概要 漏えい等の事案が発生した場合の対応等の概要について(個人情報保護委員会)
個人データが暗号化されていた場合の対応について
CRYPTREC暗号リスト 電子政府における調達のために参照すべき暗号のリスト
