2024.10.31
 個人情報の取扱いにおける事故等の報告について

 プライバシーマーク付与事業者の、個人情報の取扱いにおける事故等の報告については、「プライバシーマーク付与に関する規約(PMK500)」において、事業者からの事故報告を義務づけ、外部有識者を交えたプライバシーマーク付与認定審査委員会の審議を踏まえて、最終的な措置を行っています。

【2024年10月31日(木)より事故報告書の提出方法が変更となりました】

※事故報告の提出についてはPマークポータルサイトを通じてご提出いただくことになります。
※2024年10月31日以前に事故等の報告をいただいたものに対する、措置通知及び再発防止策の提出は従来通りの方法となります(新たに事故報告システムへのご登録等は不要です)。不明な点等ございましたらお問合せください。
@報告対象事業者
  • 当財団でプライバシーマーク付与適格性審査を実施し認定済みの事業者
  • 当財団にプライバシーマーク付与適格性審査の申請をしている事業者
  • 当財団にプライバシーマーク付与適格性審査の申請することを検討している事業
Aプライバシーマーク制度における事故等の定義
 
プライバシーマーク制度における事故等とは、「プライバシーマーク付与に関する規約(PMK500)」により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、同規約で示している次の事象のことをいいます。

   @ 漏えい
   A 紛失
   B 滅失・き損
   C 改ざん、正確性の未確保
   D 不正・不適正取得
   E 目的外利用・提供  (ただし書きに該当する場合を除く)
   F 不正利用
   G 開示等の求め等の拒否  (ただし書きに該当する場合を除く)
   H @〜Gのおそれがある場合

プライバシーマーク制度において事故報告が必要な案件かどうかは、JIPDECのホームページで公開されている、「よくあるご質問11.個人情報の取扱いにおける事故の報告」をご参照ください。

B事故報告の提出時期(速報・確報)について
 
報告対象事業者において事故等が発生した場合は、発覚した日から原則として30日(”C事故報告で速報が必要なケース”の3.に該当する場合は60日)以内に、当財団へ事故報告を行ってください。
C事故報告で速報が必要なケース
 
次の事故等に該当する場合は当財団への速報が必要となります、上記Bの報告に加え、「速報」として概ね発覚した日から3〜5日以内に当財団へ報告を行ってください。
  1. 要配慮個人情報の漏えい等、又は発生した恐れがある事態
  2. 不正に利用されることにより財産的被害が生じるおそれがある事故等、又は発生した恐れがある事態
  3. 不定の目的をもって行なわれたおそれがある事故等、又は発生した恐れがある事態
  4. 個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
  5. 付与機関がPマーク審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態

C-2 特定個人情報(マイナンバー)に関する事故等
 事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれており、次の事故等に該当する場合は、「速報」として発覚日から概ね3〜5日以内に当財団へ報告を行ってください。

  1. 情報提供ネットワークシステム等からの漏えい、滅失、き損
  2. 不特定多数の者に閲覧された
  3. 不正の目的による漏えい、滅失、き損
  4. 100人を超える場合
※特定個人情報(マイナンバー)の速報・確報の判断フロー(JIPDEC HPより参照)
 
 
D事故等の報告先
 
報告対象者 報告先 報告方法
1.付与事業者 当財団(MEDIS)及び付与機関(JIPDEC)(※1)(※2) Pマークポータルサイト内の事故報告システムを通じてご報告ください
(※3)
2.新規申請中の事業者
付与適格性審査の申請をしている当財団(MEDIS)及び付与機関(JIPDEC)
 事故報告システムはご利用できませんのでJIPDECプライバシーマーク推進センターまでお問合せください
3.新規申請を検討/予定の事業者
 
※1)Pマークポータルサイト内の事故報告システムを通じてご報告いただくことで、当財団(MEDIS)及び付与機関(JIPDEC)に共有されます。(別途、付与機関(JIPDEC)へのご報告は不要です)
(※2)事故等の処理(事故報告受付、事故評価、措置通知等)については、原則、事故報告先である当財団(MEDIS)が行ないます
 
E事故等の報告方法(※3)
 
事故報告書はPマークポータルサイトからご提出ください
Pマークポータルサイト:https://privacymark.jp/member_site/index.html
 
※事故報告の流れ(JIPDEC HPより参照)
 
Pマークポータルサイト内の事故報告システムより、事故報告に関する一連の手続き(事故報告、事故措置通知の受領、再発防止策の送付等)を行うことができます。事故報告システムは、以下にあるボタン(Pマークポータルサイトのご案内)からPマークポータルサイトにサインインしてご利用ください。
 
※画像:JIPDEC HPより
Pマークポータルサイトのアカウント

●アカウントは、付与事業者様にはJIPDECより申請担当者様あてにメールで連絡しております。ご不明な場合は、JIPDECまでお問合せください
●申請担当者様と事故報告担当者様が異なる場合は、以下の何れかの方法でご対応をお願いします。

  1. 申請担当者様(Pマークポータルサイトのアカウント保持者)が事故報告を代行いただく
    ※事故担当者様が必要に応じて以下のフォーマット(ご参考)事故報告システムで求める事故報告の入力項目に入力し、その内容を申請担当者様が事故報告システムに入力する等でご対応ください(事故報告システムに直接インポートする機能はございませんので、お手数が自動で転記してください。)

    (ご参考)事故報告システムで求める事故報告の入力項目(Word:71KB
  2. 申請担当者様および事故報告担当者が含まれるメールアドレス(メーリングリスト)をご用意いただく。
    ※申請担当者様のメールアドレスを変更する場合は、各審査機関へ変更報告を行ってください。
Pマークポータルサイトサインイン後の事故報告システムへのアクセス方法
※画像:JIPDEC HPより
事故等の措置の通知
  • 事故報告システムを通じて報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には事故システムを通じてその結果を通知します。
  • 事故等の措置の通知において、再発防止策の実施状況等の報告を求められた場合は、措置通知の受領日より2か月以内にその実施状況について、事故報告システムを通じて報告してください。
事故報告の取り扱い
  • 提出された事故報告は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するために利用します。また、概要作成や注意喚起のために内容を利用することがあります。
  • 報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、JIPDECプライバシーマーク推進センター並びに、当財団(MEDIS)にて情報を共有します。
  • JIPDEC認定個人情報保護団体対象事業者の場合は、認定個人情報保護団体事務局へ共有します。
  • JIPDECは「プライバシーマーク付与に関する規約(PMK500)」に基づき、事故等の調査を実施している旨について公表することがあります。
F事故等への対応について(動画)
 
プライバシーマーク付与事業者において事故等が発生した場合の対応については、以下をご覧ください。
事故発生時におけるプライバシーマーク付与事業者の対応の流れ(PDF:399KB)
 
※付与事業者の皆様におかれましては、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」内「J.4.4.2.緊急事態への準備」の対応のため、上記「事故等の定義」に則り、「漏えい、滅失、き損」の他、「改ざん、正確性の確保」、「不正・不適正取得」、「目的外利用・提供」、「不正利用」、「開示等の求め等の拒否」(いずれも、おそれを含む)を事故報告の対象とし、文書化をおこなってください。
また、同様に「報告の対象」、「提出までの目安の日数」、「報告先」等も含める必要があります。
 
動画:プライバシーマーク制度における事故対応について(55分37秒)
 
個人情報保護委員会への報告について
 
2022年4月1日施行の改正個人情報保護法により、漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告が義務化されました。以下の個人情報保護委員会規則で定められた漏えい等が発生した場合は、個人情報保護委員会に「速報」及び「確報」として報告を行なってください。
 
また、特定個人情報(マイナンバー)に係る事故等についても、個人情報保護委員会への報告が必要です。詳細は個人情報保護委員会Webサイトをご参照ください。
 
個人情報保護委員会(個人情報保護委員会ホームページ)
 
Gお問合せ先
 
一般財団法人医療情報システム開発センター
医療情報安全管理部 プライバシーマーク付与認定審査室・事故報告担当宛
 03-3267-1925
privacy-jiko■medis.or.jp
※アドレスの「■」を「@」に置き換えてください

※なお、事故報告システムがご利用できない場合、事故報告システムに関する事項(ログインできない等)については、JIPDECプライバシーマーク推進センターまでお問合せください。

 JIPDECプライバシーマーク推進センター TEL:03-5860-7563
 
Copyright(C) 2003, The Medical Information System Development Center. All Rights Reserved.