図●事業者における特定個人情報の漏洩事案等が発生した場合の対応(出所:特定個人情報保護委員会)
図●事業者における特定個人情報の漏洩事案等が発生した場合の対応(出所:特定個人情報保護委員会)
[画像のクリックで拡大表示]

 特定個人情報保護委員会は2015年7月25日、企業でマイナンバーが漏洩した場合の対応方法を定めた案を公表し、8月24日までパブリックコメント(意見募集)をすると公表した()。特定個人情報が漏洩した人数が101人以上の場合や、従業員らによって不正に持ち出されたり利用されたりした場合などには、重大事案として直ちに委員会へ報告するよう努めるとしている。

 公表されたのは「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づく告示となる案。企業などでマイナンバーを含む個人情報である特定個人情報の漏洩や番号法違反の恐れなどが発覚した場合、直ちに責任者に報告して被害の拡大防止策や事実関係の調査、原因究明、影響範囲の特定が望ましいとしている。

 被害の拡大防止策や事実関係の調査は、個人情報取扱事業者である場合は個人情報保護法の主務大臣のガイドラインなどに従って報告する。それ以外の企業などは特定個人情報保護委員会に速やかに報告するよう努めるとした。

 また、事案に応じて二次被害を防止したり類似事案の発生を回避したりするため、事実関係などについて速やかに本人に連絡するか容易に知り得る状態に置くことや、再発防止策などの公表も盛り込んだ。

 このうち重大事案として、直ちに委員会へ報告することを求める場合も挙げている。国や地方自治体などの間でマイナンバーに関連付けられた個人情報をやり取りする情報提供ネットワークシステムから情報漏洩があった場合、特定個人情報が漏洩した人数が101人以上の場合や、従業員らによって不正に持ち出されたり利用されたりした場合などとしている。

 一方、個人情報取扱事業者以外の企業などには、特定個人情報保護委員会への報告が不要となる5つの条件も掲げた。それによると、外部漏洩や不正持ち出しなどではなく、対象となる特定個人情報の件数が100人以下で、影響を受ける可能性のある本人全てに連絡して再発防止策を決定している、などの条件に全て当てはまる場合としている。独立行政法人や地方自治体向けには、こうした条件などを設けない案も合わせて公表してパブリックコメントを行っている。