2022.06.22
 個人情報の取扱いにおける事故等の報告について

 プライバシーマーク付与事業者の、個人情報の取扱いにおける事故等の報告については、「プライバシーマーク付与に関する規約(PMK500)」において、事業者からの事故報告を義務づけ、外部有識者を交えたプライバシーマーク付与認定審査委員会の審議を踏まえて、最終的な措置を行っています。

また、申請中及び申請検討中事業者からの事故報告についても、「プライバシーマーク制度における欠格事項及び判断基準」に基づき運用しています。

【2022年4月1日より事故報告書の様式が変更となりました】

一般社団法人日本情報経済社会推進協会(JIPDEC)のホームページにおいて、プライバシーマーク制度運営要領「プライバシーマーク付与に関する規約(JIP-PMK500)」の改訂に伴い、2022年4月1日からの事故報告手続き(報告様式・方法等)が一部変更となります。

事故対応のポイントについて、JIPDECのホームページに公開されておりますのでご参照ください
事故発生時におけるプライバシーマーク事業者の対応
動画「プライバシーマーク制度における事故対応について」

具体的な報告手順等下記のとおりご案内致します。


@報告対象事業者
  • 当財団でプライバシーマーク付与適格性審査を実施し認定済みの事業者
  • 当財団にプライバシーマーク付与適格性審査の申請をしている事業者
  • 当財団にプライバシーマーク付与適格性審査の申請することを検討している事業
Aプライバシーマーク制度における事故等の定義
プライバシーマーク制度における事故等とは、「プライバシーマーク付与に関する規約(PMK500)」により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、同規約で示している次の事象のことをいいます。

   @ 漏えい
   A 紛失
   B 滅失・き損
   C 改ざん、正確性の未確保
   D 不正・不適正取得
   E 目的外利用・提供  (ただし書きに該当する場合を除く)
   F 不正利用
   G 開示等の求め等の拒否  (ただし書きに該当する場合を除く)
   H @〜Gのおそれがある場合

プライバシーマーク制度において事故報告が必要な案件かどうかは、JIPDECのホームページで公開されている、「よくあるご質問11.個人情報の取扱いにおける事故の報告」をご参照ください。

B事故報告の提出時期について
報告対象事業者において事故等が発生した場合は、発覚した日から原則として30日(”C事故報告で速報が必要なケース”の3.に該当する場合は60日)以内に、当財団へ事故報告を行ってください。

C事故報告で速報が必要なケース
次の事故等に該当する場合は当財団への速報が必要となります、上記Bの報告に加え、「速報」として概ね発覚した日から3〜5日以内に当財団へ報告を行ってください。
※速報についても、「D報告方法」より個人情報の取扱いに関する事故等の報告書をご提出ください
  1. 要配慮個人情報の漏えい等、又は発生した恐れがある事態
  2. 不正に利用されることにより財産的被害が生じるおそれがある事故等、又は発生した恐れがある事態
  3. 不定の目的をもって行なわれたおそれがある事故等、又は発生した恐れがある事態
  4. 個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
  5. 付与機関がPマーク審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態

C-2 特定個人情報(マイナンバー)に関する事故等
 事故等の対象となった個人情報に特定個人情報(マイナンバー)が含まれており、次の事故等に該当する場合は、「速報」として発覚日から概ね3〜5日以内に当財団へ報告を行ってください。

  1. 情報提供ネットワークシステム等からの漏えい、滅失、き損
  2. 不特定多数の者に閲覧された
  3. 不正の目的による漏えい、滅失、き損
  4. 100人を超える場合
 
D報告方法
個人情報の取扱いに関する事故等の報告書(ver.1.1 PDF 484KB)
※ver.1.1にバージョンアップしました

【速報用】特定個人情報の取扱いに関する事故等の報告書(ver.1.0 PDF 573KB)
※2022年7月1日より運用開始
※確報は個人情報の取扱いに関する事故等の報告書ver.1.1でご提出ください

※PDFファイルに報告内容を記入する形式となっています
※既に作成済みである場合など、当面の間は従来の事故報告書での報告は可能です
※報告書に事故概要を記載する際は、企業名や個人名は極力記載しない(イニシャル等で記載)ように願います


【事故報告書の記入方法と提出方法】

@パソコンに「個人情報の取扱いに関する事故等の報告書」をダウンロード
 ※
ブラウザでPDFを開かずにパソコンにダウンロード

AAdobe Acrobat Readerでダウンロードした報告書を開く
 ※Adobe Acrobat Readerがインストールされていない場合は、Adobeサイトよりダウンロード可能です

B報告書に必要事項を入力し、パソコン内に”名前を付けて保存”
 ●「ファイル」メニュー⇒「名前を付けて保存」をクリックして保存
 ●ファイル名は「登録番号-日付(YYYYMMDD)」としてください
※フォルダ名は任意で結構です”ファイル名”を上記のルールで割り振ってください
 例)Pマークの登録番号が「14123456」で報告日が「2022年4月1日」の場合、14123456-20220401.pdfとなります
  ※登録番号はPマークロゴ下に記載している8桁の数字です

個人情報の取扱いに関する事故等の報告書 記入例(JIPDECホームページより)(PDF 506KB)

 
C報告先
 報告書は、事業者様側でパスワード設定をしただいたうえでメールへの添付、もしくはオンラインストレージ等で下記にご提出下さい。

一般財団法人医療情報システム開発センター
プライバシーマーク付与認定審査室・事故報告担当宛
privacy-jiko■medis.or.jp
※アドレスの「■」を「@」に置き換えてください


D報告書の取扱い

 当該報告書は、報告頂いた個人情報の取扱いにおける事故等の欠格性を判断するためにプライバシーマーク付与認定審査室で利用します。また、付与機関である一般財団法人日本情報経済社会推進協会への報告にも利用します。

 なお、本報告書(原本)は、プライバシーマーク付与認定審査で保管・管理します。

Eお問合せ先
一般財団法人医療情報システム開発センター
医療情報安全管理部 プライバシーマーク付与認定審査室・事故報告担当宛
03-3267-1925
privacy-jiko■medis.or.jp
※アドレスの「■」を「@」に置き換えてください

Copyright(C) 2003, The Medical Information System Development Center. All Rights Reserved.