個人情報保護委員会は、個人データの漏洩や滅失、そのおそれが生じた際、事業者に求められる対応案を取りまとめた。2017年1月6日まで意見を募集している。
今回パブリックコメントが開始された「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データに関する事件や事故、それらおそれが生じた際に事業者が講じるべき措置について定めたもの。
同委員会が11月30日に公開した「個人情報の保護に関する法律についてのカ゛イト゛ライン」では対応が望まれる内容について別途用意するとしていた。
対象となるデータは、特定個人情報を除き、個人データのほか、匿名加工情報の作成に用いた個人情報から削除した記述や、個人識別符号、加工方法に関する情報なども含まれる。
漏洩などが発生したり、おそれが生じた場合には、事業者内部における報告、原因や事実関係の調査、影響範囲の特定、被害拡大の防止、対象者への連絡、再発防止策の実施や公表などについて、「対応することが望ましい」とした。
また同案では、同委員会への報告を「努力義務」にとどめており、報告先は、認定個人情報保護団体の対象事業者を除き、原則同委員会としている。
さらに「実質的に外部へ漏洩していない」と判断される場合、報告を不要とした。
具体的な例として、「高度な暗号化による秘匿化」「第三者に閲覧されずに回収」「事業者以外で特定個人の識別が難しい場合」「滅失、毀損のため閲覧が合理的に予想されない場合」などを挙げている。
くわえて宛名や送信者名以外の個人データを含まない「ファックス、メールの誤送信」「誤配達」など軽微な事故についても除外するとした。
意見の提出期限は2017年1月6日。電子政府の総合窓口「e-Gov」の意見提出フォーム、郵送、ファックス、メールで受け付ける。
http://www.security-next.com/076520/