情報漏えい事案等対応手続(中小規模事業者用)

Similar documents
【事務連絡】特定個人情報の漏えい時の対応(業界団体あて)

privacy/index.html 事業者において 従業員等の特定個人情報の漏えい事案等が発生した場合 当該事業者は事案等に応じて 都道府県労働局

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

特定個人情報の取扱いの対応について

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

特定個人情報の取扱いの対応について

社会福祉法人○○会 個人情報保護規程

個人情報の保護に関する規程(案)

一般社団法人北海道町内会連合会定款変更(案)

第 1 章総則 ( 目的 ) 第 1 条本規程は 株式会社スマートバリュー ( 以下 当社 という ) が個人情報保護方針に基づく個人情報の取扱いの基本事項を定めたもので 個人情報の保護と適正な利用を図ることを目的とする ( 定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによ

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

14個人情報の取扱いに関する規程

独立行政法人経済産業研究所特定個人情報の取扱い等に関する管理規程

個人情報管理規程

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

個人情報保護規程例 本文

個人情報保護規程

はじめてのマイナンバーガイドライン(事業者編)

< F2D8EE888F882AB C8CC2906C>

学校法人金沢工業大学個人情報の保護に関する規則

個人情報保護規定

氏名等の特定の個人を識別することができる情報は記載しないこと 4. 発生年月発生年月についてな場合は と記載すること 5. 発覚年月漏えい事案等の事故が発覚した年月を記載すること 6. 漏えい等した情報の内容漏えいした情報の種類 内容及びその数 ( 機微 ( センシティブ ) 情報を含む場合は その

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

個人情報保護規程例 本文

第 2 章 個人情報の取得 ( 個人情報の取得の原則 ) 第 4 条個人情報の取得は コンソーシアムが行う事業の範囲内で 利用目的を明確に定め その目的の達成のために必要な範囲においてのみ行う 2 個人情報の取得は 適法かつ公正な方法により行う ( 特定の個人情報の取得の禁止 ) 第 5 条本条各号

劇場演出空間技術協会 個人情報保護規程

<93C18B4C8E64976C8F9195CA8E862E786C73>

第 4 条 ( 取得に関する規律 ) 本会が個人情報を取得するときには その利用目的を具体的に特定して明示し 適法かつ適正な方法で行うものとする ただし 人の生命 身体又は財産の保護のために緊急に必要がある場合には 利用目的を具体的に特定して明示することなく 個人情報を取得できるものとする 2 本会

<8B4B92F681458CC2906C8FEE95F195DB8CEC2E786C7378>

財団法人日本体育協会個人情報保護規程

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

特定個人情報等取扱規程 ( 目的 ) 第 1 条本規程は 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 及び 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) に基づき 会社の取り扱う特定個人情報等の適正な取扱いを確保することを目的

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

東京弁護士会個人情報保護規則

個人情報の取り扱いに関する規程

privacypolicy

特定個人情報等取扱規程

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

Microsoft Word - 2 個人情報保護規程

4 保護管理者は 次の各号に掲げる組織体制を整備する (1) 職員 ( 臨時職員を含む 以下同じ ) がこの訓令に違反している事実又は兆候を把握した場合の保護管理者及び監査責任者への報告連絡体制 (2) 保有個人情報等の漏えい 滅失又は毀損等 ( 以下 情報漏えい等 という ) の事案の発生又は兆候

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

独立行政法人農業者年金基金個人情報保護管理規程

Microsoft Word - 個人情報保護規程 docx

報主体の権利利益及びプライバシーの侵害の防止に関し 必要な措置を講じるよう勤める 2 本センターの職員等は 業務上知り得た個人情報を漏えいし または不当な目的に使用してはならない 第 2 章 管理体制及び責任 ( 管理体制 ) 第 6 条本センターは 個人情報の適切な管理を効果的に実施するため 役割

特定個人情報の取扱いに関するモデル契約書 平成27年10月

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律


Microsoft Word - 苦情処理・紛争解決のための基本方針及び社内規程.docx

Microsoft Word - 個人情報管理規程(案)_(株)ふるさと創生研究開発機構(2016年1月27日施行).doc

東レ福祉会規程・規則要領集

Microsoft Word - 06_個人情報取扱細則_ doc

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

2 会員は 前項の規定にかかわらず 本人との間で契約を締結することに伴って契約書その他の書面 ( 電子的方式 磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む 以下この項において同じ ) に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当

個人情報保護基本規程

個人情報保護方針

学校法人久留米大学個人情報の保護に関する規程

個人情報によって識別される特定の個人をいう ( 基本理念 ) 第 3 条個人情報は 個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ その適正な取扱いを図るものとする 第 2 章個人情報 ( 利用目的の特定 ) 第 4 条個人情報を取り扱うに当たっては 定款の定める業務を遂行

商工会議所法令の改正に伴う定款変更(例)について

Microsoft Word - ○指針改正版(101111).doc

11. 不測事態 とは 情報セキュリティの確保及び維持に重大な影響を与える災害 障害 セキュリティ侵害等の事態をいう 12. 役職員等 とは 当組合の役員 職員並びにこれに準ずる者( 嘱託職員 臨時職員 パートタイマー アルバイト等 及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1

東京 SR 経営労務センター 特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 東京 SR 経営労務センター ( 以下 当センター という ) が個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする (

マイナンバー制度 実務対応 チェックリスト

sannomaruriyou

必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

苦情等処理規程 第 1 章総則 第 1 条 ( 目的 ) この規程は 当社が行う仮想通貨交換業に関して 顧客等より申し出のあった苦情等や顧客等との間に生じた紛争等を迅速かつ公正に処理するための基本的事項及び手続を定め さらに苦情等や紛争等の再発防止を図ることを目的とする 第 2 条 ( 定義 ) 1

第 4 条公共の場所に向けて防犯カメラを設置しようとするもので次に掲げるものは, 規則で定めるところにより, 防犯カメラの設置及び運用に関する基準 ( 以下 設置運用基準 という ) を定めなければならない (1) 市 (2) 地方自治法 ( 昭和 22 年法律第 67 号 ) 第 260 条の2

公 印 規 程

(5) 個人データ 個人データ とは 個人情報データベース等を構成する個人情報をいう (6) 保有個人データ 保有個人データ とは 当会館が 開示 内容の訂正 追加又は削除 利用の停止 削除及び第三者への提供の停止を行うことのできる権限を有する個人データであって その存否が明らかになることにより公益

扱う職員 ( 以下 特定個人情報等取扱者 という ) 並びにその役割を指定する 2 保護管理者は 各特定個人情報等取扱者が取り扱う特定個人情報等の範囲を指定する ( 監査責任者 ) 第 7 条研究所に監査責任者 1 人を置く 2 監査責任者は 総務課長をもって充てる 3 監査責任者は 保有個人情報等

表第 1 欄のとおりとする 2 保護管理者は 各課等における保有個人情報を適切に管理する任に当たる ( 保護担当者 ) 第 5 条各課等に 当該各課等の保護管理者が指定する保護担当者を一人置くこととし 別表第 2 欄のとおりとする 2 保護担当者は 保護管理者を補佐し 各課等における保有個人情報の管

個人情報管理規程

Microsoft Word - 素案の概要

特定個人情報取扱規程 平成 29 年 4 月 1 日制定 第 1 章目的等第 1 条 ( 目的 ) この規程は 一般社団法人粒子線治療推進研究会 ( 以下 この法人 という ) が 行政手続きにおける特定の個人を識別するための番号の利用などに関する法律 ( 以下 番号法 という ) 及び 個人情報の

する 3 船員の雇用管理に関しては 船員の雇用管理分野における個人情報保護に関するガイドライン ( 平成二十五年国土交通省告示第二百九十二号 ) によるものとする ( 国土交通省関係事業者による個人情報の保護に関する指針等 ) 第三条国土交通省関係事業者は 法 個人情報の保護に関する法律施行令 (

人 事 関 係

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

エ事務部門 (9) 利用者 教職員 学生等及び臨時利用者で 本学情報システムを利用する者をいう (10) 教職員 本学に勤務する常勤又は非常勤の教職員 ( 派遣職員を含む ) をいう (11) 学生等 本学学則に定める学部学生 大学院学生 大学院研究生 科目等履修生及び聴講生 等をいう (12) 臨

役職員等 とは, この法人に所属するすべての理事, 監事及び組織内にあって直接又は間接にこの法人の指揮監督を受けてこの法人の業務に従事している者をいい, 雇用関係にある従業者のみならず, この法人との間に雇用関係のない者 ( 派遣社員等 ) も含む. (10) 個人情報管理責任者 個人情報管理責任者

PowerPoint プレゼンテーション

本人に対して自身の個人情報が取得されていることを認識させるために 防犯カメラを設置し 撮影した顔画像やそこから得られた顔認証データを防犯目的で利用する際に講じることが望ましい措置の内容を明確化するため 更新しました ( 個人情報 ) Q 防犯目的のために 万引き 窃盗等の犯罪行為や迷惑行

第 1 章総則 ( 目的 ) 第 1 条本規程は 日立国際電気企業年金基金 ( 以下 基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本規程において 個人情報 とは 個

北広島市社会福祉協議会特定個人情報取扱規程 平成 28 年 1 月 1 日 平成 30 年 1 月 15 日 制定 一部改正 目次第 1 章総則 ( 第 1 条 - 第 6 条 ) 第 2 章組織体制等 ( 第 7 条 - 第 10 条 ) 第 3 章取得及び収集の制限 ( 第 11 条 - 第 1

Taro-31個人情報保護管理規程

財団法人吊古屋都市整備公社理事長代理順位規程

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

取扱いに特に配慮を要するものとして政令第 2 条で定める記述等が含まれる個人情報をいう (4) 個人情報データベース等 とは 個人情報を含む情報の集合物であって 次のいずれかに該当するもの ( 利用方法からみて個人の権利利益を害するおそれが少ないものとして政令第 3 条第 1 項で定めるものを除く

特定個人情報取扱規程 ( 目的 ) 第 1 条社会福祉法人埼玉県社会福祉協議会 ( 以下 本会 という ) は 個人 番号及び特定個人情報を適正に取り扱うことを目的として 本規程を定める ( 用語の定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによる (1) 番号法行政手続に

個人情報取扱規程 目次第 1 章総則第 2 章管理組織 体制第 3 章個人情報の取得および利用第 4 章個人データの適正管理第 5 章保有個人データに関する本人からの開示請求等への対応第 6 章個人情報保護にかかるその他の措置第 7 章監査第 8 章雑則 第 1 章総則 ( 目的 ) 第 1 条この

<4D F736F F D B838B835A E815B8BC696B182C982A882AF82E98CC2906C8FEE95F195DB8CEC834B E646F63>

閣原防第 6 号 原子力防災会議保有個人情報管理規程を次のように定める 平成 24 年 12 月 25 日 原子力防災会議議長野田佳彦 原子力防災会議保有個人情報管理規程 第 1 章総則 ( 目的 ) 第 1 条この規程は 原子力防災会議 ( 以下 会議 という ) の保有する個人情報の適切な管理に

(2) 総合的な窓口の設置 1 各行政機関は 当該行政機関における職員等からの通報を受け付ける窓口 ( 以下 通報窓口 という ) を 全部局の総合調整を行う部局又はコンプライアンスを所掌する部局等に設置する この場合 各行政機関は 当該行政機関内部の通報窓口に加えて 外部に弁護士等を配置した窓口を

個人情報の保護に関する

特定個人情報取扱規程

個人情報の適正な取扱いに関する基本方針

第 4 条センターは 個人情報保護方針 ( プライバシーポリシー ) を定め これを実施する 2 センターは 個人情報保護方針を 文書等で従業者に周知徹底させるとともに センターのホームページ上に公表する ( 規程の改定 ) 第 5 条センターは 個人情報保護法の運用 監督官庁のガイドライン等の変更

国立研究開発法人国立循環器病研究センターの保有する個人情報及び特定個人情報の保護に関する規程

5) 輸送の安全に関する教育及び研修に関する具体的な計画を策定し これを適確に実施する こと ( 輸送の安全に関する目標 ) 第 5 条前条に掲げる方針に基づき 目標を策定する ( 輸送の安全に関する計画 ) 第 6 条前条に掲げる目標を達成し 輸送の安全に関する重点施策に応じて 輸送の安全を確 保

<4D F736F F D C192E88CC2906C8FEE95F18EE688B58B4B91A5208AAE90AC94C5>

Transcription:

情報漏えい事案等対応手続 1 ( 目的 ) 第 1 条本手続は 特定個人情報等取扱規程 に定める特定個人情報等の漏えい等の事案その他の 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号 以下 番号法 という ) 違反の事案又は番号法違反のおそれのある事案が発覚した場合における当社における対応についての手続について定める ( 用語 ) 第 2 条本規程の用語については 特定個人情報等取扱規程 の定めるところに従う ( 所管部署 ) 第 3 条 総務部 を本手続の所管部署とし 以下の対応について 関係各部と連携して責任をもって行う (1) 被害の拡大の防止 (2) 事実関係の調査 原因の究明 (3) 影響範囲の特定 (4) 再発防止策の検討 実施 (5) 影響を受ける可能性のある本人への連絡等 (6) 事実関係 再発防止策等の公表 (7) 関係当局への報告 2. 総務部長 を本手続に定める対応を率先して行う 総務部長 が不在の場合は 総務副部長 が対応を代行する 3. 総務部長 は 特定個人情報等取扱規程 に定める事務取扱責任者と協議をして 対応を行うものとする 4. 総務部 は 本手続について定期的 ( 年 1 回程度 ) に見直しを行う ( 第一報 ) 2 第 4 条当社の役職員は 個人情報 ( 以下 特段の定めがない限り 特定個人情報等以外 の個人情報をいう ) 又は特定個人情報等の漏えい等の事案の発生を認識した場合には 1 以下では 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年 12 月 25 日特定個人情報保護委員会規則第 5 号 ) を 規則 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) を 告示 特定個人情報の漏えい事案等が発生した場合の対応における Q&A ( 平成 27 年 12 月 25 日特定個人情報保護委員会 ) を Q A といいます 2 告示 1(1) 事業者内部における報告 被害の拡大防止 1

総務部 に報告をしなければならない 総務部の連絡先 : 〇〇 〇〇〇〇 〇〇〇〇 ( 内線〇〇 ) 2. 当社の役職員は 以下のいずれかに該当する場合は 上席者が不在の場合でも速やかに ( 原則として30 分以内 ) 直接 総務部 へ電話又は口頭で報告する (1) 当社の役職員又は業務委託先が不正の目的で持ち出したり利用したりした場合 (2) サーバーへの不正アクセスが認められた場合 (3) 漏えいした個人情報の本人の数が 10 人以上である場合 (4) 対外公表の可能性がある場合 ( 被害の拡大の防止 ) 3 第 5 条 総務部 の担当者は 前条の第一報があった場合 速やかに特定個人情報等の漏えい等の防止その他の暫定措置を講ずるように関係部署に対して指示をする 2. 外部からの不正アクセスや不正プログラムの感染が疑われる場合には 当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行う等 適切な対応について 関係部署に対して指示をする 4 3. 特定個人情報等の漏えい等の事案以外の番号法違反又は番号法違反のおそれのある事案 ( 個人番号の収集制限 ( 番号法第 20 条 ) 利用制限違反( 同法第 9 条 ) 提供制限( 同法第 19 条 ) を含むがこれに限らない 以下同じ ) についても 前各号に準じて被害の拡大の防止に努めるものとする ( 役員への報告 ) 5 第 6 条 総務部長 は 必要と認められる場合 直ちに 代表取締役及び関係担当取締 役に対して報告を行う ( 事実関係の調査 原因の究明 ) 6 第 7 条 総務部 は 関係部署と連携の上 事実関係の調査を行う とりわけ 以下の観点から調査を行うものとする (1) 漏えい等があった特定個人情報等を取扱う部署及び担当者の特定 3 告示 1(1) 事業者内部における報告 被害の拡大防止 4 (1) 事業者内部における報告 被害の拡大防止 にある 被害の拡大を防止する とは 例えば 外部からの不正アクセスや不正プログラムの感染が疑われる場合には 当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます (QA1-3) 5 告示 1(1) 事業者内部における報告 被害の拡大防止 6 告示 1(2) 事実関係の調査 原因の究明 2

(2) 漏えい等のルートの解明 (3) 漏えい等の有無の確認 ( 漏えい等していた場合には 漏えい先の特定を含む ) (4) 漏えい等の対象となる本人 情報の項目及び人数の特定 2. 総務部 は 原因の究明にあたっては 以下の観点により検討を行う (1) 全社レベルの問題か 各部レベルの問題か (2) 社内規程等に不備がなかったか (3) 安全管理措置 ( 組織的 人的 物理的 技術的 ) に不備はなかったか ( 特に 不正アクセスの場合は 技術的安全管理措置において情報システムシステムの脆弱性 不備はなかったか ) (4) 組織全体の問題か 個人に起因する原因か 3. 当社の情報システムに対する不正アクセスが認められる場合は 外部のフォレンジック専門業者に委託をして事実関係の調査及び原因の究明を行う 4. 総務部 は 必要に応じて 警察 弁護士等に対して相談を行う 5. 特定個人情報等の漏えい等の事案以外の番号法違反又は番号法違反のおそれのある事案についても 前各号に準じて事実関係の調査及び原因の究明に努めるものとする ( 影響範囲の特定 ) 7 第 8 条 総務部 は 前条で把握した事実関係に関して 漏えい等の対象となる情報の本人の数 漏えいした情報の内容 漏えいした原因等を踏まえ 影響範囲を特定する 8 2. 特定個人情報等の漏えい等の事案以外の番号法違反又は番号法違反のおそれのある事案についても 前項に準じた対応を行うものとする ( 再発防止策の検討 実施 ) 9 第 9 条総務部は 第 7 条で究明した原因及び前条で特定した影響範囲を踏まえ 再発防止策を検討し 速やかに実施する 2. 再発防止策は以下の観点に留意して策定するものとする (1) 全社レベルの見直しが必要か 各部レベルの見直しで足りるか (2) 社内規程等の見直しが必要か (3) 安全管理措置 ( 組織的 人的 物理的 技術的 ) の見直しが必要か (4) 運用の見直しやモニタリングで足りるか 7 告示 1(3) 影響範囲の特定 8 (3) 影響範囲の特定 にある 把握した事実関係による影響の範囲を特定する とは 事案の内容によりますが 例えば 漏えい事案の場合は 漏えいした特定個人情報の本人の数 漏えいした情報の内容 漏えいした手段 漏えいした原因等を踏まえ 影響の範囲を特定することが考えられます (QA1-3) 9 告示 1(4) 再発防止策の検討 実施 3

( 関係者の処分 ) 10 第 10 条人事部は 就業規則に基づき 関係者を懲戒処分等する 2. 総務部 は 必要に応じて 関係者について刑事告発を行う ( 影響を受ける可能性のある本人への連絡等 ) 11 第 11 条 総務部 は 特定個人情報等の漏えい事案等が発生した場合 二次被害の防止 類似事案の発生回避等の観点から 事実関係等について 速やかに 本人へ謝罪の連絡をし 又は 当社のホームページに事実の概要及び専用窓口を公表することにより本人が容易に知り得る状態に置くものとする 12 2. 前項にかかわらず 本人の権利利益が侵害されていないと認められる場合 ( 以下の場合をも含むがこれらの場合に限られない ) には 本人への連絡等を省略することができる なお サイバー攻撃による場合等で 公表することでかえって被害の拡大につながる可能性があると考えられる場合には 専門機関等に相談するものとする 13 (1) 紛失したデータを第三者に見られることなく速やかに回収した場合 (2) 高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合 3. 特定個人情報等の漏えい等の事案以外の番号法違反又は番号法違反のおそれのある事案についても 第 1 項の規定に準じた対応を行うものとする ( 影響を受ける可能性のある本人への賠償 ) 第 12 条 総務部 は 特定個人情報等の漏えい事案等が発生した場合 漏えい等の対象となった情報の内容 漏えい等の態様等の事実関係及び究明した原因 他の同種事案における賠償額等を考慮して 影響を受ける可能性のある本人への賠償額 ( 金銭以外の賠償を含む ) 及び賠償方法を決定する 2. 特定個人情報等の漏えい等の事案以外の番号法違反又は番号法違反のおそれのある事案についても 前項に準じた対応を行うものとする ( 事実関係 再発防止策の公表 ) 14 第 13 条 総務部 は 特定個人情報等の漏えい等の事案が発生した場合 二次被害の防 止 類似事案の発生回避等の観点から 事実関係及び再発防止策等について 速やかに 公表するものとする 2. 前項にかかわらず 本人の権利利益が侵害されていないと認められる場合 ( 以下の場 10 告示 1(4) 再発防止策の検討 実施 11 告示 1(5) 影響を受ける可能性のある本人への連絡等 12 QA1-4 13 QA1-5 14 告示 1(6) 事実関係 再発防止策等の公表 4

合をも含むがこれらの場合に限られない ) には 事実関係及び再発防止策等についての公表を省略することができる なお サイバー攻撃による場合等で 公表することでかえって被害の拡大につながる可能性があると考えられる場合には 専門機関等に相談するものとする 15 (1) 紛失したデータを第三者に見られることなく速やかに回収した場合 (2) 高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合 3. 特定個人情報等の漏えい等の事案以外の番号法違反又は番号法違反のおそれのある事案についても 第 1 項の規定に準じた対応を行うものとする ( 関係当局への報告 ) 第 14 条 総務部 は 特定個人情報等の漏えい等のその他の番号法違反の事案が発生した場合 速やかに 個人情報保護委員会に報告するものとする 16 ただし 以下の全てに該当する場合は 個人情報保護委員会への報告を要しない 17 1 影響を受ける可能性のある本人全てに連絡した場合 ( 本人への連絡が困難な場合には 本人が容易に知り得る状態に置くことを含む ) 2 外部に漏えいしていないと判断される場合 3 事実関係の調査を了し 再発防止策を決定している場合 4 次項の重大事態に該当しない場合 2. 前項の報告の方法は 別添 1の様式に記載し 郵送 ( 宛先 : 107-0052 東京都港区赤坂 1-9-13 三会堂ビル8 階 ) をすることによる 3. 第 1 項の規定にかかわらず 以下の各号の事態 ( 以下 重大事態 という ) 又はそのおそれのある事案が発覚した場合は 事実関係及び再発防止策等について 第一報として 直ちに個人情報保護委員会に報告するものとする ただし 当社から特定個人情報の取扱いの委託を受けた者が他の複数の事業者からも特定個人情報の取扱いの委託を受けている場合において 重大事態に該当する事案又はそのおそれのある事案が発覚した場合等においては 事案の報告の第一報は 当該委託を受けた者から直接個人情報保護委員会に報告する場合もあり得る 18 報告の方法は 別紙 2の様式に記載し 個人情報保護委員会にFAX(FAX 番号 :03-3582-8286) をすることによる 19 15 QA1-5 16 告示 2(1) イ ウ 17 告示 2(2) 18 複数の事業者から特定個人情報の取扱いの委託を受けた者において 当該複数の事業者の特定個人情報について重大事態に該当する事案又はそのおそれのある事案が発覚した場合は 当該委託を受けた者から直接個人情報保護委員会に報告することが可能です ( 告示 3(2)) 19 告示 3(2) 5

(1) 個人番号関係事務又は個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報が漏えい ( 不正アクセス行為 ( 不正アクセス行為の禁止等に関する法律 ( 平成 11 年法律第 128 号 ) 第 2 条第 4 項に規定する不正アクセス行為をいう ) による漏えいその他番号法第 19 条各号に該当しない特定個人情 20 報の提供を含む ) し 滅失し 又は毀損した事態 (2) 次に掲げる特定個人情報に係る本人の数が 100 人を超える事態 21 イ漏えい等した特定個人情報ロ番号法第 9 条の規定に反して利用された個人番号を含む特定個人情報ハ番号法第 19 条の規定に反して提供された特定個人情報 (3) 当社の保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり かつ その特定個人情報が閲覧された事態 22 23 (4) 不正の目的をもって 当社の保有する特定個人情報ファイルに記録された特定個 人情報を利用し 又は提供した者がいる事態 24 4. 前項に加えて 重大事態に該当する事案が発覚した場合は 1 概要及び原因 2 特定個人情報の内容 3 再発防止のためにとった措置 4その他個人情報保護委員会が定める事項について 個人情報保護委員会に報告するものとする 報告の方法は 別紙 2の様式に記載し 個人情報保護委員会にFAX(FAX 番号 :03-3582-8286) 25 26 20 規則第 2 条第 1 号 21 規則第 2 条第 2 号 22 規則第 2 条第 3 号 23 不特定多数の者 は 例えば 事業者 ( 委託先で特定個人情報を取り扱う従業者を含む ) 以外の者が前提ですので 誤ってインターネット上に特定個人情報を掲載した場合や情報システムに保存した特定個人情報が事業者の外部から容易にアクセス可能な状態になっていた場合を想定しています なお アクセスログなどにより閲覧がなかったことを確実に確認できた場合には 規則第 2 条第 3 号に規定する事態には該当しないと解されます (QA4-3) 24 規則第 2 条第 4 号 25 例えば 以下の事例のように 必ずしも 不正の目的をもって とは言えない目的又は不注意で持ち出してしまった場合などは 基本的には 当てはまらないと考えられます なお 以下の事例の場合でも 他の重大事態に該当しないかを確認する必要があります (Q A4-4) 個人番号関係事務に従事する従業員が 勤務時間外に入力作業を行うため 社内規程に反して 個人番号が含まれるデータを自宅のパソコンに送った場合 従業員が外出先で取引相手から個人番号が記載された書類を受け入れたが 帰社途中に 当該書類を収納した鞄を紛失した場合 従業員が自宅に持ち帰った業務用のファイルに 意図せずに 特定個人情報が記載された書類が混入していた場合 26 規則第 2 条第 4 号の事態は 特定個人情報を利用したり提供したりできることが前提となりますので 組織内の従業員や委託先の従業員等の行為を想定しています 外部の第三者が 個人番号が含まれるデータを持ち出した場合については含まれません (QA4-5) 6

27 28 をすることによる 5. 当社から番号法第 10 条第 1 項の規定により個人番号利用事務の全部若しくは一部の委 託を受けた者又は個人番号関係事務の全部若しくは一部の委託を受けた者は 重大事態 が生じたときは 当該重大事態を個人番号利用事務等の委託をした者である当社に報告 するものとし 当社は 当該重大事態を個人情報保護委員会に報告するものとする 29 6. 当社から番号法第 10 条第 2 項により個人番号利用事務又は個人番号関係事務の全部又 は一部の委託を受けた者とみなされた者は 重大事態が生じたときは 当該重大事態を 当該委託を受けた者とみなされた者が その事務を委託した者を経由して 当社に報告 するものとし 当社は 単独で又は委託を受けた者及び委託を受けたとみなされた者と 30 31 32 共同で 当該重大事態を個人情報保護委員会に報告するものとする ( 改廃 ) 第 15 条本規程の改廃は 総務部長の決定により行うものとする 附則 本規程は 平成 28 年 1 月 1 日より施行する 27 規則第 3 条第 1 項 28 規則第 2 条各号に規定する重大事態に該当する事案又はそのおそれのある事案が発覚した時点の報告については 原則として 事案の報告における個人情報保護委員会への第一報として告示に基づいて直ちにその旨を個人情報保護委員会に報告するものです その後 確報として 規則に基づき 事態の概要及び原因 再発防止策等について個人情報保護委員会に報告する必要があります なお 事案が発覚した時点で 第一報として規則に規定する報告事項 ( 事態の概要及び原因 再発防止策等 ) の全てについて報告した場合は 再度 報告する必要はありません (QA3-1) 29 規則第 3 条第 2 項 30 規則第 3 条第 3 項 31 規則 3 条 3 項では 直接の委託者を経由して ( 複数いる場合についても同様 ) 報告できるように規定されています 32 当社から委託を受けた者や再委託を受けた者のみが直接報告することは想定されていませんが 当社がこれらの者と共同で報告をすることは認められます (QA4-6) 7

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック