特集

情報漏えい事故の報告・届出先

▼事故対応が少し落ち着いたら
情報漏えい事故が発生した場合には、株主、取引先、個人情報の漏えいであれば個人情報の本人など、様々な方への報告や説明が求められます。また、事故が発生した事実について(内容に拠りますが)、公的な機関への報告・届出も必要になります。

情報漏えい事故の発生に気づいた後は、速やかに対応しなければ事態がさらに悪化していきます。緊急の体制を敷き、事実を調査し、被害の拡大を防止しなければなりません。関係機関への報告・届出は、そのような緊急の対応を終えた後に実施することになります。

滅多に起きない事故が起きた時には、報告・届出先の存在を忘れてしまうかもしれませんから、いざという時に備えて、報告・届出先を確認しておきましょう。

▼関係機関まとめ
報告・届出するべき関係機関を以下に記載します。
顧客やサプライチェーンの取引先といった固有の関係がある人・組織ではなく、
日本の事業者に共通する関係機関についてまとめています。

  1. 警察(犯罪被害の場合)
  2. 主務大臣(個人情報の漏えいの場合)
  3. 個人情報保護委員会(特定個人情報の漏えいの場合)
  4. Pマーク認証機関等(認証を受けている場合)
  5. IPA、JPCERT/CC等(情報提供先)

1.警察
PCの盗難や不正アクセスなどの犯罪が発生している場合や、犯罪に発展する可能性がある場合は、早めに警察に連絡するべきです。最寄りの警察署を確認しておきましょう。まず警察署に電話をして担当の係に繋いでもらいます。その後、ケースバイケースかと思いますが、被害状況について警察署に行って説明することを求められます。
サイバー犯罪に関しては、地域の警察署だけでなく、都道府県警察本部のサイバー犯罪対策を所管する部門に相談できる場合があります。

*都道府県警察本部のサイバー犯罪相談窓口等一覧
https://www.npa.go.jp/cyber/soudan.htm

なお、以下の窓口は一般の方向けの自動音声案内です。
*サイバー犯罪に係る電話相談窓口
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/security/cyber34.html

2.主務大臣(省庁)
個人情報を漏えいした場合は、主務大臣(省庁)への報告が求められます。主務大臣への報告ができなければ、個人情報保護に関する「省庁ガイドライン」の違反として行政指導の対象となる可能性があります。
この「主務大臣」というのは、各事業分野を所管する各省庁の大臣です。各省庁では、所管事業分野に対する個人情報保護法についての「省庁ガイドライン」を定めており、事業分野に合った省庁の長が主務大臣になっています。

*個人情報の保護に関するガイドラインについて
http://www.ppc.go.jp/files/pdf/personal_guideline_ministries.pdf

業種によって報告先が変わってきますので、自社の業種と所管省庁を確認しておきましょう。業種別の所管省庁については、次の資料が分かりやすいと思います。

*各事業所管大臣の所管事業一覧
https://www.boj.or.jp/z/tame/tnref1.pdf

数ある省庁の中で、経済産業省が所管する分野は少し把握しづらいかもしれません。「経済産業分野」については、次の資料にまとめられています。例えば、通信販売を行っている事業者が経済産業省の所管であることがわかります。

*「経済産業省が所管する分野及び法第36条第1項により経済産業大臣が主務大臣に指定された特定の分野」
http://www.soumu.go.jp/yusei/yubin_kojin_hogo/pdf/070807_1_sk6.pdf

3.個人情報保護委員会
特定個人情報(個人番号を内容に含む個人情報)の漏えい事故の場合、個人情報保護委員会への報告が必要です。特定個人情報でなければ、個人情報保護委員会への報告は現時点では不要です。
なお、今後個人情報保護委員会が個人情報全般の保護に関して国内で統括的に監督するようになった時には報告が必要になると考えられます(時期は定かではありません)。

4.Pマーク認証機関等
プライバシーマーク等の個人情報保護や情報セキュリティに関する認証を受けている場合は、認証機関に報告書を提出することが求められます。詳細は各認証機関のガイドライン等を確認しておきましょう。

5.IPA、JPCERT/CC
サイバー犯罪の被害を社会に広げないためには、被害者からの情報提供が有意義です。

*IPAでは、コンピュータウイルス、不正アクセス、脆弱性関連情報などの届出を受け付けています。
https://www.ipa.go.jp/security/outline/todoke-top-j.html

*JPCERT/CCでは、コンピュータセキュリティインシデントに関する対応依頼を受け付けています。
https://www.jpcert.or.jp/form/

 

▼情報漏えい発生時の対応のポイント
ちなみに、情報漏えいが発生した時点からの対応については、IPAが「情報漏えい発生時の対応のポイント」を公開していますので参照してみてください。
http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf