事故報告について

2023.04.26

　個人情報の取扱いにおける事故等の報告について

　プライバシーマーク付与事業者の、個人情報の取扱いにおける事故等の報告については、「プライバシーマーク付与に関する規約（PMK500）」において、事業者からの事故報告を義務づけ、外部有識者を交えたプライバシーマーク付与認定審査委員会の審議を踏まえて、最終的な措置を行っています。

【2022年4月1日より事故報告書の様式が変更となりました】

一般社団法人日本情報経済社会推進協会(JIPDEC)のホームページにおいて、プライバシーマーク制度運営要領「プライバシーマーク付与に関する規約（JIP-PMK500）」の改訂に伴い、2022年4月1日からの事故報告手続き（報告様式・方法等）が一部変更となります。

事故対応のポイントについて、JIPDECのホームページに公開されておりますのでご参照ください
・事故発生時におけるプライバシーマーク事業者の対応
・動画「プライバシーマーク制度における事故対応について」

具体的な報告手順等下記のとおりご案内致します。

①報告対象事業者

当財団でプライバシーマーク付与適格性審査を実施し認定済みの事業者
当財団にプライバシーマーク付与適格性審査の申請をしている事業者
当財団にプライバシーマーク付与適格性審査の申請することを検討している事業

②プライバシーマーク制度における事故等の定義

プライバシーマーク制度における事故等とは、「プライバシーマーク付与に関する規約（PMK500）」により『個人情報の外部への漏えいその他本人の権利利益の侵害（以下「事故等」という）』と位置付けており、具体的には、同規約で示している次の事象のことをいいます。

　　　①　漏えい
　　　②　紛失
　　　③　滅失・き損
　　　④　改ざん、正確性の未確保
　　　⑤　不正・不適正取得
　　　⑥　目的外利用・提供　（ただし書きに該当する場合を除く）
　　　⑦　不正利用
　　　⑧　開示等の求め等の拒否　（ただし書きに該当する場合を除く）
　　　⑨　①～⑧のおそれがある場合

プライバシーマーク制度において事故報告が必要な案件かどうかは、JIPDECのホームページで公開されている、「よくあるご質問11.個人情報の取扱いにおける事故の報告」をご参照ください。

③事故報告の提出時期について

報告対象事業者において事故等が発生した場合は、発覚した日から原則として30日（”④事故報告で速報が必要なケース”の3.に該当する場合は60日）以内に、当財団へ事故報告を行ってください。

④事故報告で速報が必要なケース

次の事故等に該当する場合は当財団への速報が必要となります、上記③の報告に加え、「速報」として概ね発覚した日から3～5日以内に当財団へ報告を行ってください。

※速報についても、「⑤報告方法」より個人情報の取扱いに関する事故等の報告書をご提出ください

要配慮個人情報の漏えい等、又は発生した恐れがある事態
不正に利用されることにより財産的被害が生じるおそれがある事故等、又は発生した恐れがある事態
不定の目的をもって行なわれたおそれがある事故等、又は発生した恐れがある事態
個人データに係る本人の数が１０００人を超える事故等が発生し、又は発生したおそれがある事態
付与機関がPマーク審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態

プライバシーマーク付与事業者の事故報告の流れ（JIPDECホームページより）

④-２　特定個人情報（マイナンバー）に関する事故等

事故等の対象となった個人情報に特定個人情報（マイナンバー）が含まれており、次の事故等に該当する場合は、「速報」として発覚日から概ね3～5日以内に当財団へ報告を行ってください。

情報提供ネットワークシステム等からの漏えい、滅失、き損
不特定多数の者に閲覧された
不正の目的による漏えい、滅失、き損
100人を超える場合

⑤報告方法

※事故報告書を作成・提出する際は、”事故報告書の記入方法と提出方法”をご参照ください
※ブラウザでPDFを開かずにパソコンにダウンロードしてください

※ブラウザ上でPDFを開いた状態ではでは入力・保存等が出来ませんので、ご注意ください

個人情報の取扱いに関する事故等の報告書(ver.1.1　PDF　484KB)
※ver.1.1にバージョンアップしました
※要配慮個人情報の事故等の、速報が必要な事故等についての速報は、こちらの書式でご提出ください

【マイナンバー（特定個人情報）：速報用】特定個人情報の取扱いに関する事故等の報告書(ver.1.0 PDF 573KB)
※確報は個人情報の取扱いに関する事故等の報告書ver.1.1でご提出ください
※本様式は”特定個人情報”の取扱いに関する”速報用”の報告書となります。
要配慮個人情報の漏えい等の速報が必要な事故についても、間違えてこちらの”特定個人情報”の速報用様式でご提出されるケースがございますので、お間違えの無いようによろしくお願いもし上げます。

※PDFファイルに報告内容を記入する形式となっています
※報告書に事故概要を記載する際は、個人名は極力記載しない（イニシャル等で記載）ように願います

事故報告書の記入方法と提出方法

①パソコンに「個人情報の取扱いに関する事故等の報告書」をダウンロード

【報告書をダウンロード/作成する際の注意点】
※ブラウザでPDFを開かずにパソコンにダウンロード
※ブラウザ上で開いたPDFに入力しても保存等が出来ないのでご注意ください

②Adobe Acrobat Readerでダウンロードした報告書を開く
　※Adobe Acrobat Readerがインストールされていない場合は、Adobeサイトよりダウンロード可能です

③報告書に必要事項を入力し、パソコン内に”名前を付けて保存”
　●「ファイル」メニュー⇒「名前を付けて保存」をクリックして保存
　●ファイル名は「登録番号-日付（YYYYMMDD）」としてください
※フォルダ名は任意で結構です”ファイル名”を上記のルールで割り振ってください
　例）Pマークの登録番号が「14123456」で報告日が「2022年4月1日」の場合、14123456-20220401.pdfとなります
　　※登録番号はPマークロゴ下に記載している８桁の数字です

個人情報の取扱いに関する事故等の報告書　記入例（JIPDECホームページより）（PDF　506KB）

④報告先

　報告書は、事業者様側でパスワード設定をしただいたうえでメールへの添付、もしくはオンラインストレージ等で下記にご提出下さい。

一般財団法人医療情報システム開発センター
プライバシーマーク付与認定審査室・事故報告担当宛
privacy-jiko■medis.or.jp
※アドレスの「■」を「@」に置き換えてください

⑤報告書の取扱い

　当該報告書は、報告頂いた個人情報の取扱いにおける事故等の欠格性を判断するためにプライバシーマーク付与認定審査室で利用します。また、付与機関である一般財団法人日本情報経済社会推進協会への報告にも利用します。

　なお、本報告書（原本）は、プライバシーマーク付与認定審査で保管・管理します。

⑥お問合せ先

一般財団法人医療情報システム開発センター
医療情報安全管理部　プライバシーマーク付与認定審査室・事故報告担当宛
03-3267-1925
privacy-jiko■medis.or.jp
※アドレスの「■」を「@」に置き換えてください

Copyright(C) 2003, The Medical Information System Development Center. All Rights Reserved.