緊急事態
緊急事態とは?
個人情報保護における「緊急事態」とは個人情報に何らかの事故が生じた状況のことです。
具体的には次のようなことが緊急事態に当たります。
個人情報が外に漏れる
個人情報がなくなる
個人情報が書き換えられる
ここに挙げたものはそれぞれ「漏えい」、「滅失」、「き損」と呼ばれます。
緊急事態が生じれば大なり小なりその情報の本人であるお客様に被害が及びます。自社にも被害が及びます。そして関係する取引先やグループ会社などにも被害が及びます。
プライバシーマーク(Pマーク)を持っている事業者でも緊急事態が生じる可能性をゼロにすることはできません。重要なのはそのような緊急事態が生じる可能性を小さくすることと万が一発生したときに被害を小さくするための対策を講じることです。
まず緊急事態が生じる可能性を小さくすることについてですが、これは事前にリスク分析を行うことによってある程度可能になります。
「リスク」とは個人情報に良くない影響を与えるおそれのある状況のことで、それを「分析する」とはリスクを一つ一つ洗い出し、それぞれのリスクが及ぼしうる被害の度合いを見定めていくことを指します。リスク分析はプライバシーマーク(Pマーク)の要求事項の一つでもあります。
次に万が一緊急事態が発生したときの対策についてですが、これには次の5つのことを事前に社内ルールとして決めておくことが関係します。
一つ目は「どのような事態を緊急事態と判断するか」ということです。言い換えれば緊急事態の定義を事業者内で決めておくということです。
緊急事態に対応するためには、それを発見した従業員が起こっている状況に対して「緊急事態だ」と気づく必要があります。そのためにも緊急事態とはどのような事態を指すのかを決めておく必要があるのです。
二つ目は「被害を最小限にするための手順」です。
何事にも適切な手順があります。緊急事態が発生したときも、慌てて対応したりその場の思いつきで対応したりするのはよくありません。緊急事態が生じたときにどのような段取りで対処していくかを決めておけば、最悪の事態でも被害を最小限にとどめながら対応していくことができるでしょう。
三つ目は「緊急事態についてお客様に知らせる手順」です。個人情報に事故が起きた場合、一番の被害者となるのはお客様本人です。よって緊急事態が生じたなら必ずお客様本人にそのことを知らせなければなりません。
四つ目は「緊急事態について公表する手順」です。緊急事態が生じたことは可能な限り一般に向けて公表すべきです。これは同じような事故が起きることを防ぐためです。
五つ目は「緊急事態について関係する機関に報告する手順」です。グループ会社や委託先、またプライバシーマーク(Pマーク)を持っている会社であれば審査機関などが報告先に含まれます。
言うまでもなく実際に事故が生じたときは必ずしも思うようにことが運ぶわけではありません。緊急事態に対応する手順を決める際は、そのことも想定してなるべく実行しやすい手順にするのがよいでしょう。