この記事を読むために必要な時間は約4分(1353文字)です。
情報漏えい時の個人情報取扱事業者の義務とは? その3
- 投稿日:2018-08-07
- 最終更新日:2020-12-25
- 表示:315PV
- カテゴリ:漏えい
この「個人情報取扱事業者の義務」の中から、全6回にわたって、情報が漏えいなどした時の義務についてお話をしています。
今回はその第3回目です。
目次
漏えいなど
漏えいなどに関する義務です。この義務は下記の2つに分かれています。
前回に引き続き、今回は義務の内容のうち、「漏えいなどの事案が発覚した場合に行うべき措置」についてお話します。
漏えいなどの事案が発覚した場合に行うべき措置
行うべき措置の内容は次のとおりです。順番にお話します。
前回「事業者内部における報告及び被害の拡大防止」のお話をしましたので、今回は、「事実関係の調査及び原因の究明」から「再発防止策の検討及び実施」のお話します。
次回、「影響を受ける可能性のある本人への連絡等」と「事実関係及び再発防止策等の公表」のお話をする予定です。
事実関係の調査及び原因の究明
実際に起こった(と判明している)情報漏えい・滅失・毀損であれば、事実関係の調査が必要な場合もあれば、不必要な場合もあるでしょう。しかし、情報漏えい・滅失・毀損の「おそれ」の場合は、実際には何が起こったか、何が判明していて、何が不明なのか?という事実確認は必須です。
また、いずれの場合であっても、原因の究明が必要になります。
原因の究明は次のようなことを調査して特定します。
- 盗んだ手段
- 盗まれた原因
PCやサーバなどのデータの場合
| 盗んだ手段 | ネットワークで送信された |
| 盗まれた原因 | ウィルスに感染していた |
紙などの物の場合
| 盗んだ手段 | 書類棚から持ち出された |
| 盗まれた原因 | 鍵がかかっていなかった |
影響範囲の特定
調査によって、原因がわかったら、次は「影響範囲の特定」です。原因により「引き起こされる」ことから、影響範囲を特定するのです。
「引き起こされた」ではないので、ご注意ください。
原因から想定される範囲の検討とその検討結果について調査し、影響範囲を特定するのです。
影響範囲とは、具体的には次のような内容です。
- 盗まれた個人情報の対象者数
- 盗まれた個人情報の内容
再発防止策の検討及び実施
検討
究明された原因に対して効果のある再発防止策を検討します。| ウィルス感染が原因であれば・・・ | どこから感染したのか? |
|---|---|
| 対策ソフトは動作していたのか? |
| 書類棚からの持ち出しであれば・・・ | 施錠の確認ルールはあるのか? |
|---|---|
| 実際に確認は実施されているのか? |
実施
検討しただけでは意味がないので、速やかに実施します。次回は残りの「影響を受ける可能性のある本人への連絡等」と「事実関係及び再発防止策等の公表」のお話です。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
 | |
