個人情報漏えいの際の報告はどうやるか調べてみた(プライバシーマーク取得辞典)

個人情報の漏洩などアクシデントがあった場合の報告は、プライバシーマーク制度に則った方法により行われます。

　まず、プライバシーマーク制度とは、一般財団法人日本情報経済社会推進協会の管轄の下、日本工業規格に適合する個人情報を適切に扱う事業者を認定し、プライバシーマークを付与した上でその使用を許可する制度のことです。
この第三者による客観的評価の上、高いレベルで個人情報の取り扱いを運用・確立していると認められ付与された事業者は、個人情報保護への前向きな姿勢をアピールすることができるのです。

　そのプライバシーマーク付与事業者は、個人情報漏洩等の事故が発生した場合に付与適格決定を受けた各審査機関に報告することが義務化されています。

そもそも、制度における事故の定義とは、

①漏洩
②紛失
③滅失・き損
④改ざん、正確性の未確保
⑤不正・不適正取得
⑥目的外利用・提供
⑦不正利用
⑧開示等の求め等の拒否

のことをいいます。

　報告対象事業者は、①マーク付与事業者（付与事業者）②マーク付与適格性審査の申請をしている事業者（審査中事業者）③マーク付与適格性審査の申請を検討している事業者（申請検討中事業者）となり、報告は「個人情報の取扱いに関する事故等の報告書」を事後対応が完了し、再発防止策が決定したところで提出します。

その提出先は、１．付与事業者は、付与適格決定を受けた審査機関（ただし、更新審査中の場合は、審査中事業者の例による。）２．審査中事業者は、付与適格性審査の申請をしている審査機関３．申請検討中事業者は、付与適格性審査の申請を予定している審査機関となります。

　審査結果の通知は、外部有識者を交えた委員会の審議を経て文書により行われます。

提出された事故報告書（原本）は、プライバシーマーク事務局で保管・管理され、事故の欠格性の判断・概要作成や注意喚起等のために利用されます。

事故の内容については、事務局並びに、更新申請先の審査機関にて情報を共有され、事故の内容によっては報告書の複写を制度委員会に提出することもありますが、利用後は回収されシュレッダー処理が行われます。

　以上、個人情報漏洩等の報告を付与事業者は義務付けられておりますが、これは制裁を目的にしているのではなく、改善と再発防止の徹底を図り個人情報保護体制の強化を促すことにあります。

更に、これらを通して制度に対する信頼性、ひいては付与事業者の消費者・取引先からの信頼性の向上にも繋げていくことを目的としているのです。