事故発生時のPマーク的対応

個人情報に関する事故を発生させないに越したことはありません。しかしながらプライバシーマーク（Pマーク）を取得して適切に個人情報保護に努めていても、個人情報の漏えいや紛失などの事故が発生する可能性をゼロにすることはできません。

事故が発生すると当のプライバシーマーク（Pマーク）取得会社も打撃を被りますが、それだけでなく取引先やグループ企業、そして何よりも情報の本人であるお客様自身に計り知れない損害をもたらすことになります。

この場合にプライバシーマーク（Pマーク）取得会社自身に課せられるのは関係者への被害を最小限にとどめるよう迅速に対応するという社会的責任です。

とはいえ緊急事態というのはそれ自体が非常な状況ですから、その状況になって初めてどのように対応するかを決めるのはふさわしくありません。肝心なのは事故発生時の対応手順を“平常時に”定めておくことです。この手順を定めているかどうかはプライバシーマーク（Pマーク）の取得審査や更新審査でも審査されることでしょう。

それで少なくとも以下の3つの点について対応手順を決めておく必要があります。

事故が発生したことについて本人に通知する

個人情報の漏えいなどが発生した場合、プライバシーマーク（Pマーク）取得会社はそのことを速やかに情報の本人であるお客様に知らせなければなりません。

時には大量の個人情報に関して事故が発生し、瞬時に個々のお客様に個別に知らせることが難しい場合も生じます。そのようなときでも本人がその情報を知ることができるように事故の情報を開示しておくことが必要です。

いずれにしても“速やかに”通知することが大事です。事故が解決してから知らせるのでは不十分です。

事故の事実関係・発生原因・対策を公表する

「事実関係」とはどのような事故が発生したのかということ、「発生原因」とはなぜそのような事態が発生したのかということ、そして「対策」とはどのようにその事故を解決し、再発を防止するのかということです。

これらの情報を公表するのは類似した事故や二次被害を回避するために必要なことです。プライバシーマーク（Pマーク）では事故発生時にどのように事実関係などを公表するかを事前に手順として定めておくことが要求されています。

関係機関に報告する

緊急事態の対応には関係機関への報告も含まれます。プライバシーマーク（Pマーク）はその報告の手順を事前に定めておくことも要求していますが、それには手順を確立しておくことだけでなく報告する関係機関を特定しておくことやその連絡先をすぐに確認できるようにしておくことも含まれます。

どこに報告するかは各事業者の判断によりますが、プライバシーマーク（Pマーク）を取得・更新している会社は最低でもプライバシーマーク（Pマーク）の審査を受けた機関や主務大臣に報告すべきです。

まとめ

すべての事故に対して以上の3つの手順を適用する必要は必ずしもありません。事故の程度や本人などへの影響の度合いに応じてどこまでの措置を講じるかを決めておくことが必要になります。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】