岡本

個人情報に関する緊急事態対応が起こった場合【Pマーク取得の基礎知識】


こちらのブログをご覧になられている皆さんはお仕事において、個人情報の緊急事態に陥ったことはありませんでしょうか?

 

「重要な書類を紛失してしまった!!」

「重要な書類の発送先と中身を間違えてしまった!!」

「重要なメール内容を異なる送信先に送信してしまった!!」

 

などなど・・・

気づいた時にはがっがりしてしまいますが、おこってしまったことに関しては仕方ありません。

今回は、『個人情報に関する事件・事故等の緊急事態対応』についてお伝え致します。

 

1.緊急事態対応の考え方

本来、緊急事態対応は事前に考えておく必要がありますが、まず気をつける項目としては以下の通りとなります。

①緊急事態の拡大防止のための一次対応と再発防止のための二次対応に分けて対応する。

起こってしまった場合に重要なことは、まず迅速に対応するべきは直接的に影響が及ぶお客様対応ですが、そればかりではなく、二次被害以降を想定することとなります。

②全ての対応は社内の緊急事態対策会議の承認の元で行う。

事故への対応は迅速に行なうの為、ついつい現場で対応してしまおうと考えがちですが、的確な対応でないと更に問題を大きくしてしまう可能性があります。

③被害の対象となる本人には誠意ある対応を第1に考慮する。

どのような対応を行なうかは企業の判断に委ねられますが、最終的にはお客様がご納得いただけるように真摯に対応していく必要があります。これは風評被害を抑える為にも必要です。

④社外との対応は緊急事態対策会議の承認の元で一本化する。

緊急事態対策会議という名目が必要ではありませんが、規模が多い会社では委員会のようなものを定め、その承認のものと対応を決定することも重要となります。これは、経営陣のみの独断的な対応があった場合を想定しての対応でもあります。

 

上記の①にて『一次対応』『二次対応』とありますが、それぞれの具体的な対応事項として以下の通りとなります。また、その対応の間に企業規模によっては『公表』という工程もあります。

 

2.一次対応

① 対象となる個人情報の範囲の限定

② 発生原因の追究

③ 受託業務の場合は委託元への連絡し、委託元の指示に従う。

④ 二次被害の発生の防止

⑤ 本人への通知(不特定の場合はホームページへの掲載等)

 

3.公表

① 緊急事態対策会議の決定後実施する。

② 影響範囲が広範囲・深刻な場合はマスコミでの公表を検討する。

③ Pマークの審査機関、認定個人情報保護団体、事件の場合は警察。

④ マイナバーの重大な事態が発生した場合は個人情報保護委員会に報告する。

 

4.二次対応

① 再発防止策の策定

② 社内教育の実施

③ 運用監査の実施

 

まとめ

被害対象となるお客様へは、一般的にどういった補償を行なうのか?に焦点があたりがちですが、『原因追求』と『再発防止』をきちんと説明することも企業の責任となることをわすれてはなりません。

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている?(ISMS取得事業者からよくある質問)】

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。

プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 岡本