マモリノジダイとは
会員登録
個人情報保護委員会ってどんな組織?トラブルの際にはすぐ報告を!
個人情報の管理は、中小企業にとって避けて通れない重要な課題です。
万が一、情報漏えいが発生した際には、適切な対応を取らなければ法的責任や信用リスクを負う可能性があります。その際に連携すべき機関が「個人情報保護委員会」です。
本記事では、個人情報保護委員会の役割や企業に求められる報告義務、具体的な対応の流れについて解説します。
中小企業の経営者やバックオフィス担当者にとって、「個人情報漏えい時の適切な報告フロー」を知ることはリスク管理の大前提です。会社の信頼を守るためにも、万が一のトラブルに備えてチェックしておきましょう。
目次
【2016年からスタート】個人情報保護委員会とはどんな組織?
個人情報保護委員会は、個人情報の適正な取り扱いを確保し、個人の権利や利益を守ることを目的とした機関です。2016年に設立され、個人情報保護法およびマイナンバー法に基づいて運営されています。
個人情報保護委員会の具体的な業務は以下の通りです。
| 項目 | 具体的な業務内容 |
| 個人情報の保護に関する基本方針の策定・推進 | 個人情報の適正な取扱いを確保するため、官民の幅広い主体に向けた方針を策定し、適切な運用を推進する。 |
| 個人情報等の取扱いに関する監視・監督 | 企業や行政機関に対し、必要な指導・助言、報告徴収、立入検査を実施し、違反があれば勧告・命令を行う。 |
| 認定個人情報保護団体の認定・監督 | 業界ごとの自主的な個人情報保護の推進を支援し、適切な管理が行われるよう監督する。 |
| 特定個人情報(マイナンバー等)の監視・監督 | 行政機関や企業がマイナンバーを適正に取り扱っているか監視し、違反があれば指導・命令を行う。 |
| 個人情報保護評価の指導・監督 | 特定個人情報を保有する行政機関等が情報漏えいリスクを評価し、公表する制度の適正運用を支援する。 |
| 相談・苦情対応 | 個人情報の取扱いに関する一般的な相談対応や、苦情申出の助言・あっせんを行うための窓口を設置。 |
| 国際協力 | 個人情報保護に関する国際会議への参加や、海外の関連機関との情報交換・協力体制の構築を推進。 |
| 広報・啓発活動 | 企業や国民に向けて、個人情報保護の重要性を伝えるハンドブック、動画、SNSなどを活用した情報発信を行う。 |
企業にとっても無関係ではありません。特に個人情報の漏えい時には、報告義務や指導が関わる重要な機関です。
中小企業の経営者やバックオフィス担当者は、個人情報保護委員会の役割を理解し、適切な情報管理を徹底することが求められます。
参考)個人情報保護委員会「個人情報保護委員会について」
個人情報保護委員会の組織理念はなに?
個人情報保護委員会の組織理念は個人情報の適正な取り扱いと国民の権利利益の保護を推進することです。以下の6つの重点項目を掲げています。
| 項目 | 内容 |
| 1. 国内外の状況変化に対応する制度的な取り組み | 官民や国境を越えたデータ連携、AI技術の進展などを踏まえ、関係者と連携しながら個人情報の保護と有用性の両立を図ります。 |
| 2. 個人情報の取扱状況を把握し、迅速に監視・監督 | 漏えい報告や相談情報を活用し、定期的な実地調査を行いながら、行政機関や企業の個人情報管理体制を監視・指導します。 |
| 3. 信頼性の高いデータ流通(DFFT)の推進 | 国際的な枠組みのもと、米国・EUなど各国との協力を強化し、安全で円滑なデータの越境移転環境を構築します。 |
| 4. 特定個人情報(マイナンバーなど)の適正管理 | 行政機関や企業が適切に特定個人情報を扱えるよう指導・助言を行い、制度の適切な運営を支援します。 |
| 5. 分かりやすい情報発信 | 行政・企業・国民に向けた広報・啓発活動を行い、個人情報保護制度の理解を深めます。 |
| 6. 司令塔としての組織体制の強化 | 関係省庁や業界団体と協力し、個人情報保護制度の総合調整や監視を適切に実施できる体制を構築します。 |
参考)個人情報保護委員会「個人情報保護委員会の組織理念~人と社会の信頼の基礎を築くために~」
なかでも中小企業とのとの関わりが最も深い項目は「2.個人情報の取扱状況を把握し、迅速に監視・監督」です。個人情報が漏えいした場合、速やかに個人情報保護委員会に報告する義務があります。
また個人情報保護法関連の変更などもチェックしておきましょう。「5.分かりやすい情報発信」にある通り、個人情報保護員会からの発信も随時、確認する必要があります。
漏えい事故について中小企業には「個人情報保護委員会への報告義務」がある
中小企業であっても、個人情報の漏えいや不適切な取り扱いが発生した場合、個人情報保護委員会への報告は義務です。企業規模に関係なく、すべての企業で求められています。
報告義務に関しては、個人情報保護法の第26条にある以下の文言を確認しましょう。
| 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。 |
出典)e-GOV「個人情報の保護に関する法律」
また報告をしない、もしくは虚偽の報告をした場合の措置に関しては、第百八十二条に「五十万円以下の罰金に処する。」と、明確に記載があります。
出典)e-GOV「個人情報の保護に関する法律」
当然のことですが万が一、事故が発生した際には、迅速に個人情報保護委員会へ報告し、適切な対応を取りましょう。
後述する「報告の流れや必要な手続き」を事前に確認し、リスクマネジメント体制を整えておくことが重要といえます。
どんな場合に個人情報保護委員会への報告が必要なの?
個人情報保護委員会への報告が必要なケースは「個人の権利利益を害するおそれがあるとき」です。
個人情報保護委員会では、「個人の権利利益を害するおそれがあるときに該当する事態」に関して、以下の4つの項目を掲げています。
| 項目 | 例 |
| 1. 要配慮個人情報の漏えい | ・従業員の健康診断結果や病歴情報を含む個人データが流出した。 ・顧客の障害情報や犯罪歴などの「要配慮個人情報」が外部に漏えいした。 |
| 2. 財産的被害の恐れがある場合 | ・クレジットカード情報や銀行口座番号が流出し、不正利用の可能性がある。 ・ECサイトの顧客情報が流出し、金銭的損害を受ける可能性がある。 |
| 3. 不正な目的で個人データが取得・利用された場合 | ・不正アクセスにより顧客の個人情報がハッキングされた。 ・内部関係者が無断で顧客情報を持ち出し、第三者に販売した |
| 4. 大規模な漏えいが発生した場合 | ・1,000件以上の個人データが誤送信・流出した。 ・メール送信ミスで、多数の顧客のアドレスをCCで送信し、情報が共有されてしまった。 |
参考)個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
なお、これらの報告義務は「確実に発生した場合」ではなく、「発生したおそれがある場合」にも該当するため注意しましょう。
また以下の政府広報オンラインのページでは、これらの事態について詳細に解説した動画を確認できます。中小企業の経営者の方、バックオフィス担当者の方はぜひ確認してください。
出典)政府広報オンライン「個人データの漏えい等事案と発生時の対応について」
漏えい被害を受けた本人への通知も中小企業の義務
漏えいが発生した場合、個人情報保護委員会への報告だけではなく、影響を受けた本人への通知も義務です。
個人情報保護法の第26条2項には以下の文言があります。
| 個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
出典)e-GOV「個人情報の保護に関する法律」
基本的にはメール、電話、郵送などで、漏えいが発生した旨を本人に通知する必要があります。しかし本人への通知が難しい場合は「ホームページ等での公表」「問合せ窓口の設置」といった手段で代替措置を講じることも可能です。
個人情報保護委員会への報告の流れを知っておこう
個人情報の漏えい等が発生した際、どんな流れで個人情報保護委員会に報告するかを記載します。具体的には、以下の表の通りのステップで進めましょう。
| 手順 | 詳細 |
| ステップ1:漏えい等の発覚・初動対応 | 漏えいが発覚したら、すぐに影響範囲の特定や被害の拡大防止のための措置を講じます。 |
| ステップ2:個人情報保護委員会への「速やかな報告」 | 発覚日から3〜5日以内に「速報(新規報告)」を行います。漏えい情報にマイナンバーが含まれているか否かで、申請フォームが異なります。 |
| ステップ3:詳細な「確報(続報)」を提出 | 追加調査を行い、発覚日から30日以内に詳細な情報を「確報(続報)」として提出します。 |
| ステップ4:本人への通知 | 該当する本人に通知します。通知手段がない場合は、公に発表します。 |
| ステップ5:再発防止策の策定・実施 | 同様の事故を防ぐために再発防止策を策定し、社内での実施を徹底します。 |
参考)個人情報保護委員会「漏えい等の対応とお役立ち資料」
なかでもステップ1の初動対応では、速報で報告が必要な情報を集めるように意識しましょう。具体的には、以下の情報をまとめる必要があります。
| 大項目 | 詳細 |
| 1. 事業者情報 | ・事業者名(法人名・団体名) ・事業者の所在地 ・担当者名・連絡先(電話番号・メールアドレス) ・事業者の業種・事業内容(該当する業界・業種を選択) |
| 2. 漏えい等の概要 | ・漏えい発生日時 ・漏えい発覚日時 ・発見者 ・個人情報保護法規則第7条の各号に該当するか ・当該データの委託元 ・委託先 ・漏えいが発生した場所 ・事実の経過 ・外部の調査機関の有無 ・漏えいの原因 ・二次被害の有無 |
| 3. 漏えいした個人情報の内容 | ・媒体の種類(紙、電子データなど) ・影響を受けた個人情報の種類(氏名、住所、電話番号、メールアドレス、マイナンバー等) ・影響を受けた個人の人数(特定が困難な場合は、推定人数) |
| 4. 漏えいの影響範囲とリスク | ・第三者による悪用の可能性漏えい情報が外部に拡散したのか?SNSやインターネット上に公開されたか?不正利用の報告があったか? ・被害の可能性なりすましや詐欺に悪用されるリスク物理的な被害(例:クレジットカードの不正使用)企業の信用失墜による取引停止や訴訟リスク |
| 5. 初動対応の実施状況 | ・被害拡大を防ぐために実施した対応はあるかシステムのアクセス遮断被害者への一時対応誤送信データの削除依頼 ・今後の対応予定 |
以下のリンク先から「新規報告」を選択すると、報告すべき内容を確認できます。
出典)個人情報保護委員会「漏えい等の報告」
また漏えい情報にマイナンバーが含まれる場合は、以下のリンクを参考にしてください。
出典)個人情報保護委員会「漏えい等の報告」
まとめ
個人情報保護委員会は、個人情報の適正な取り扱いを確保するために設置された機関です。万が一、個人情報が漏えいした際には、中小企業でも報告が必須となります。
中小企業にとっては、最低限の基本知識を持ちつつ、体制を含めて事前の備えをしておくことが何よりも重要です。適切なリスク管理体制を整え、個人情報保護委員会への報告手順を理解しておきましょう。
関連記事
-
契約書のリーガルチェックとは?中小企業が法務リスクを回避する方法
中小企業の経営者やバックオフィスの担当者の中には、契約書や社内規定の法的リスクに不安を感じている方も多いのではないでしょうか?専門知識がない、人手が足りないと、リーガルチェックを後回しにしていると、思わぬトラブルを招く恐れがあります。この記事では、中小企業の実情に即したリーガルチェックの基本から、効率的な実施方法までをわかりやすく解説します。法務リスクから会社を守るためにも、ぜひ参考にしてください。
-
コーポレートガバナンスとは?設定する目的、コードの内容、事例などを解説
コーポレートガバナンスとは、企業が適切かつ健全な経営を行うための仕組みやルールを指します。企業がコーポレートガバナンスを強化することで、株主や従業員をはじめとするステークホルダー全体との信頼関係の構築が可能です。
-
残業規制は中小企業にも適用!上限や割増賃金率を把握してリスクを回避
働き方改革関連法の施行により、時間外労働(残業)の上限規制は、大企業のみならず中小企業にも適用されています。残業時間の上限超過は、罰則だけでなく企業イメージの低下にも繋がりかねません。この記事では、中小企業が把握すべき残業時間の上限、割増賃金率、そして企業が取るべき対策を解説し、残業リスク回避につながる情報を紹介します。
-
COSOとは?内部統制フレームワークの原則や活用事例をわかりやすく解説
企業の内部統制について意識している経営層の方の中には、「COSO」に興味を持っている方も少なくないでしょう。しかし、COSOが具体的にどのようなものなのか、経営に対してどう役立つのか、といった点について把握できていないことも珍しくないはずです。
-
中小企業のハラスメント研修は義務化? 研修の進め方、実施方法をして効果を最大化!
2022年4月1日より、中小企業においても職場におけるパワーハラスメント防止対策が義務化されました。これは、企業規模に関わらず、すべての企業がハラスメント対策となる研修を行うべきことを意味します。しかしながら、「ハラスメント対策の必要性は理解しているものの、具体的に何をすれば良いかわからない」という経営者の方もいらっしゃるのではないでしょうか。この記事では、中小企業におけるハラスメント対策の重要性、具体的な対策内容、研修の進め方、そして効果を最大化するためのポイントについて解説します。