個人情報保護委員会は2016年12月8日、個人データの漏洩が発生した場合に企業に望まれる対応案を公表した。改正個人情報保護法のガイドラインに基づくもので、2017年1月6日まで意見募集を行う。個人データなどが高度に暗号化がされている場合などは、委員会への報告は不要だと明記した。

 対応案は、企業が保有する個人データが漏洩や滅失、毀損した場合のほか、匿名加工情報の作成時に削除した記述や加工方法に関する情報、個人識別符号の漏洩の恐れがある場合などを対象としている。こうした場合、企業の責任者への報告とともに、被害拡大防止や事実関係の調査、原因究明、影響範囲の特定、再発防止策を求めている。

 また、場合に応じて、二次被害や類似事案を防止するために、事実関係などを速やかに本人に連絡や周知するほか、事実関係や再発防止策などを速やかに公表するとしている。その上で、個人情報保護委員会や、企業が所属する認定個人情報保護団体への報告を求めている。

 ただし、個人データや加工方法などの情報が、高度な暗号化などで秘匿化されていたり、第三者に閲覧されないうちに全てを回収したりして実質的に外部に漏洩していないと判断される場合などは、報告不要としている。また、FAXやメールの誤送信、荷物の誤配などで、宛名や送信者名以外に個人データなどを含まない場合も、報告の対象外と明記した。

[発表資料へ]