プライバシーマーク制度では、その準拠基準であるJIS規格(JISQ15001)に定められた要求事項に基づき、「緊急事態への準備」として、企業は先ず「緊急事態を特定するための手順」を確立することが求められています。
個人情報に係るある事象が発生した場合、それが「緊急事態に該当するか否か」については、それぞれの企業が判断することになるのですが、その拠り所となる「判断基準」は、現状ではJIS規格をはじめ関係当局によって明示されていません。
しかし、企業が「判断基準」を策定するに当っては、「JIS規格の解説」や「ガイドライン」にある緊急事態に際しての対処方針等の中に示されている考え方が一つの手掛かりとなります。
それらの中にある「例示」、「示唆」等に盛り込まれている考え方を拠り所に「敢えて緊急事態として取り扱わなくてもよい」事例を整理してみると、次のようになります。
(1) 個人情報の漏えい、滅失又は毀損などの状況からみて、当該事故によって本人が被る権利利益の侵害が極めて少なく、今後も侵害の可能性が発生しないと認められる場合
(2) 書店等で誰でもが容易に入手できる市販名簿等で、事業者において全く加工をしてないものを紛失又は盗難等に遭遇した場合
(3) 事業の性質及び個人情報の取扱状況を勘案し、当該漏えい等の事故による二次被害を阻止できる場合
(4) JIS規格3.4.2.3に定める「機微情報」、又はプライバシーに係わる情報に該当せず、事故件数が例えば一桁の範囲である場合
(5)事故又は違反について本人へ迅速な報告と謝罪を行ない、本人全てとの間で問題の終結ができた場合
(6) 即時に実施した緊急対策の結果、本人への権利利益の侵害を生ぜず、類似事案の発生が確実に回避できると認められる場合
(7)紛失又は不適切な取扱い等をした個人情報を、第三者に見られることなく、速やかに回収又は不適切な取扱いを修復した場合
(8) 紛失等をした個人情報に高度な暗号化等の秘匿化が施されている場合
(9)漏えい等の事故を起こした事業者以外では、特定の個人を識別できない場合
個人情報の取扱い上の「事故又は違反」が発生した場合、それが「緊急事態として特定すべき対象であるか否かの判断基準」として、上述の例示は有益な材料と考えられます。
以上。株式会社コンプライアンス・マネジメント チーフコンサルタント 宮澤 康徳