Incident
事故等の報告
JAPHICマークの認証を受けた事業者様は、以下の内容をご確認いただき報告を行ってください。
個人データ及び特定個人情報の漏えい等の報告等について
一般社団法人JAPHICマーク認証機構は個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第37条第1項の規定に基づき、個人情報保護委員会から認定を受けた認定個人情報保護団体として業務を行っています。
JAPHICマーク認証事業者(以下「認証事業者」という)は、その取り扱う個人データ及び特定個人情報の漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、当該事態が生じた旨をJAPHICマーク認証機構及び個人情報保護委員会に報告することが必要となります。
報告の対象となる事案について
JAPHICマーク認証機構に報告を行う対象となる事案については以下の通りです。
- ①要配慮個人情報が含まれる個人データ及び特定個人情報の漏えい等(又はそのおそれ)
- ②不正に利用されることにより財産的被害が生じるおそれがある個人データ及び特定個人情報の漏えい等(又はそのおそれ)
- ③不正の目的をもって行われたおそれがある個人データ及び特定個人情報の漏えい等(又はそのおそれ)
- ④個人データに係る本人の数が1,000人を超える、もしくは特定個人情報に係る本人の数が100人を超える漏えい等(又はそのおそれ)
- *個人データ1~999人もしくは、特定個人情報1~99人の場合は任意でJAPHICマーク認証機構への報告のみとなります。
報告の方法・期限について
認証事業者は個人情報保護委員会及びJAPHICマーク認証機構への報告事案と判断した場合は、個人情報保護委員会のホームページの報告フォームに入力する方法により、次の(1)~(9)を速やか(報告対象事態を知った日から 3~5日以内)に「速報」として報告を行います。
(1) 「概要」
当該事態の概要について、発生日、発覚日、発生事案、発見者、規則第 7 条各号該当性、委託元及び委託先の有無、事実経過等を報告する。
(2) 「漏えい等が発生し、又は発生したおそれがある個人データの項目」
媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
(3) 「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
(4) 「原因」
当該事態が発生した主体(報告者又は委託先)とともに報告する。
(5) 「二次被害又はそのおそれの有無及びその内容」
(6) 「本人への対応の実施状況」
当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
(7) 「公表の実施状況」
(8) 「再発防止のための措置」
漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
(9) 「その他参考となる事項」
上記の(1)から(8)までの事項を補完するため、参考となる事項を報告する。
認証事業者は、「速報」に加え、30日以内または、不正の目的をもって行われた行為による漏えい等は60日以内に個人情報保護委員会に「確報」として(1)~(9)の報告を行います。
なお、確報を行う時点において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合は、その時点で把握している内容を報告し、判明次第、報告を追完するものとします。
JAPHICマーク認証機構への報告は『速報』『確報』の各報告内容の入力終了時にシステム内の「PDF出力(報告書形式)」を行い、出力した報告書をメールにてご提出下さい。
なお、個人情報保護委員会への報告を必要としない場合で、当機構へ報告を行う場合は、必要な様式をメールにてお送りいたしますので、JAPHIC事務局にお知らせください。