ISO27001/ISMS、テレワークセキュリティ対策支援、プライバシーマーク/Pマーク取得のことなら名古屋のエスケイワード コンサルティング事業部まで
Pマーク・ISO27001取得・運用・テレワーク支援
コンサルティング事業部
お電話でのお問い合わせ
052-953-7167
受付時間 平日9:00~18:00
お知らせ・トピックス
- Home
- お知らせ・トピックス
- 速報と確報の違いについて
速報と確報の違いについて
2022年10月28日
改正個人情報保護法では、個人情報の漏えいが発生した場合、「速報」と「確報」の二段階で報告をすることが求められるようになりました。報告を怠った場合、罰金が発生する可能性もあります(詳しくはこちらの記事をご参照ください)。
今回は、「速報」と「確報」の違いとあわせて、どういった場合にそれらの報告が必要になるかについてご説明します。
速報と確報について
個人情報保護委員会規則では、情報の漏えい等が発生した場合、個人情報取り扱い事業者は「速報」と「確報」の二段階で個人情報保護委員会に報告しなければならないと定められています。「速報」と「確報」とは、個人情報の漏えいが発生した際に、個人の権利・利益を保護するためにつくられた仕組みです。
速報は、個人情報保護委員会が漏えい等の事態を迅速に把握するために定めたものです。速報は迅速さが求められるため、報告する時点で把握している限りの内容でよいとされています。続く確報にて事態の全容を報告することで個人情報保護委員会は、速報時点では明確でなかった漏えい等の原因や再発防止策の内容を把握し、適切な指導・監督を行うことができます。
速報と確報には、以下のように報告期限と報告内容に違いがあります。
| 報告の種類 | 報告期限 | 報告内容 |
|---|---|---|
| 速報 | 概ね3~5日以内 | その時点で把握している事項 |
| 確報 | 事故発覚後の30日以内 ※不正の目的をもって行われたおそれがある事故等の場合は60日以内 |
報告が求められる事項について全て報告をする |
速報が必要な事故の一例
以下のような事象が発生した場合、速報にて報告書を提出する必要があります。
- 要配慮個人情報が含まれる事故等
- 不正に利用されることにより財産的被害が生じるおそれがある事故等
- 不正の目的をもって行われたおそれがある事故等
- 個人データに係る本人の数が1,000人を超える事故等
- その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反があると認めた事態
※いずれも事故等が発生したおそれがある事態も含める
特定個人情報(マイナンバー)に関する事故等
特定個人情報(マイナンバー)が関わる事故等では、さらに厳しい対応が求められます。特定個人情報(マイナンバー)が含まれる事故等の場合、上記1~5に加え、以下の1~4の場合にも速報にて報告書を提出する必要があります。
- 情報提供ネットワークシステム等からの漏えい
- 不特定多数の者に閲覧された場合
- 不正の目的による漏えい、滅失、き損
- 漏えいデータ数が100人を超える場合
まとめ
2022年の法改正に伴い、個人情報の漏えいが発生した場合の報告が完全義務化され、違反した場合の罰則が強化されました。事故を起こさないための予防策に目が行きがちですが、事故が起きたときに迅速かつ的確に対応することも同じくらい重要です。
弊社がご提供する「プライバシーマーク取得・運用支援プラン」では、社内ルールの構築だけでなく、社員様への教育研修を通じて「もしも」に備えるサポートもいたします。「どのような対策を取ればいいのか分からない」「具体的にどこから手をつければよいのかわからない」という場合は、弊社のプライバシーマーク運用プランをぜひご活用ください。御社に合わせた適切なご提案をさせていただきます。まずはお気軽にご相談ください。