個人情報の取扱いにおける事故等の報告について

プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」において、 事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。

提出された事故報告書については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルを判断し、外部有識者を交えた委員会の審議を踏まえて、最終的な措置を行っています。 また、審査中及び申請検討中事業者からの事故報告についても、「プライバシーマーク付与に関する規約(PMK500)」に基づき運用しています。

なお、事故の報告は、事故を起こした事業者への制裁を目的にしているものではなく、当該事業者において、事故の重大さを認識していただき、適正な改善策の策定と実施及び再発防止を徹底することにより、 個人情報保護体制をさらに強化していただくことを目的としているものです。さらに、事故の集計・分析、及びその結果に係る注意喚起・情報提供を通じて、プライバシーマーク制度に対する信頼性の維持・向上、 ひいては付与事業者の消費者・取引先からの信頼性の向上につなげることも目的としています。

したがって、事故が発生した場合は、下記に示すとおり、報告を行ってください。

報告対象事業者

  • プライバシーマーク付与事業者
  • 当協会にプライバシーマーク付与の審査申請をしている事業者(審査中事業者)
  • 当協会にプライバシーマーク付与の審査申請することを検討している事業者(申請検討中事業者)

報告のタイミング

事故等が発生した場合は、発覚した日から原則として30日(以下の3.の場合は60日)以内に「確報」として報告を行ってください。

また、次の事故等に該当する場合は、上記の報告に加え、「速報」として概ね発覚した日から3~5日以内に報告を行ってください。
速報では原因、再発防止策の記入は不要です。

1.要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態
2.不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態
3.不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態
4.個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
5.その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態

報告書の様式

最新の「速報・確報」の様式をお使いください。速報と確報は共通の様式です、
事故報告後に当協会から再発防止策の実施状況について報告書の提出依頼を受けた場合には「再発防止策の実施状況・対策結果報告書」の様式をお使いください。

報告書の提出方法

デ協Pマーククラウド」にログインして【ファイル登録】から報告書のアップロードをお願いします。
※ログインIDはPマーク登録番号(8桁)です。
※新規申請中、新規申請検討中の場合のログイン方法はPマーク審査部事務局までお問い合わせください。
※ログイン初回時は仮パスワードを発行してください。貴社のご登録アドレスに仮パスワードが送付されます。
※アップロードするファイルにパスワードは不要です。

報告書の取扱い

 当該報告書は、報告頂いた個人情報の取扱いにおける事故等の欠格性を判断するためにPマーク審査部で利用します。 また、報告を頂いた事故等の内容については、プライバシーマーク付与適格性の審査に反映するために、JIPDECと情報を共有します。
 事故等の内容によっては、プライバシーマーク制度委員会(JIPDEC)での審議を経て決定する必要があることから、 その場合には報告書の複写を委員会に提出することもありますが委員会終了後すべて回収しシュレッダーにて処分します。

 なお、本報告書(原本)は、Pマーク審査部で保管・管理します。
本件の事故報告は、Pマーク認定制度上の報告であり、法制度上の事故報告とは異なるものです。

ページの最初へ移動