特定個人情報保護委員会から2015年9月28日に発表されているQ&Aを、さらにわかりやすくなるようにまとめてみました。
1:番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合の措置
Q1-3
「(3) 影響範囲の特定」にある「把握した事実関係による影響の範囲を特定する」とは、どういうことですか。
A1-3
事案の内容によりますが、例えば、漏えい事案の場合は、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。
万が一漏えいをしてしまった場合、適切かつ迅速な行動が必要です。
(1) 事業者内部における報告、被害の拡大防止責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3) 影響範囲の特定(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6) 事実関係、再発防止策等の公表事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。
番号法によって、その対応が定められています。
本格的にマイナンバーを会社で取り扱う前に確認しておきたいですね。
本格的にマイナンバーを会社で取り扱う前に確認しておきたいですね。
Q1-4
「(5) 影響を受ける可能性のある本人への連絡等」にある「本人が容易に知り得る状態に置く」とは、どういうことですか。
A1-4
本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。
個別の対応をすることが重要視されます。
Q1-5
「(5) 影響を受ける可能性のある本人への連絡等」及び「(6)事実関係、再発防止策等の公表」について、「事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもいいのですか。
A1-5
例えば、紛失したデータを第三者に見られることなく速やかに回収した場合や高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合等には、本人への連絡等や公表を省略することも考えられますので、各事業者において事案の内容等を踏まえて判断してください。なお、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、専門機関等に相談することも考えられます。
他社にマイナンバーを見られなければ、報告の必要はないということです。
この辺りを、特に理解してマイナンバーの管理者を決めるようにしましょう。
この辺りを、特に理解してマイナンバーの管理者を決めるようにしましょう。
金庫やキャビネットで保管しよう。
マイナンバーを施錠管理していたとしても、鍵の管理者が曖昧であれば、安全な保管とはいえない。そのようなことがないよう、取扱者・責任者を明確化しよう。
やはり、担当者が金庫などを用いて適切に管理し、物理的にもネットワーク上でもしっかり管理することが大切と言えるでしょう。