(1)
危機管理への対応
@ 危機管理
個人情報の漏えい等の事故が発生した場合は、事実関係と原因
の調査をし、早急に安全管理対策を見直して再発防止を図るとと
もに、被害拡大防止のための措置を講じなければならない。
A 危機管理対応手順の策定と実施
a
漏えい等の事故が発生した場合の連絡体制の確立
速やかに代表者に事態の発生を報告するために、あらかじめ
緊急連絡体制を確立しておく。
b
調査の実施
直ちに以下の事実関係の調査を実施する。
ア 漏えい等の事故が生じた個人情報を取り扱う部署及び担当
者
イ
漏えい等のルート
ウ
外部漏えいの有無
エ
漏えい先
オ
漏えい等があった個人情報の情報主体・情報項目及び情報
件数
B 調査をふまえた初期対応の決定
顧客対応、所管の行政庁・警察などとの連携、マスコミ対応・公表
などに関する方針を速やかに決定する。
C 行政・警察への報告・相談、裁判手続等
a
所管の行政庁及び協会事務局へ速やかに報告・相談を行い、
必要な助言・指導を受ける。
b
必要に応じ、警察に対し、漏えいの場合は捜査の要請、紛失の
場合は遺失物の届け出を行う。
c
対外的影響が大きい場合は、必要に応じ、漏えい等の事故が
生じたことを公表する。ただし、個人情報保護の趣旨をより害す
ることがないように十分に配慮するものとする。
D 顧客対応
漏えい等に係る個人情報の情報主体である本人に対して個別に
漏えい等の事態の発生の経過と状況を説明すると共に、必要な
謝罪を行うとともに、必要に応じ、インターネットのホームページ、
日刊紙等において状況説明、謝罪文を掲載したり、専用の顧客
対応窓口を設置し、問合せへの対応を行う。
この場合も、個人情報保護の趣旨をより害することがないように
十分に配慮するものとする。
E 被害拡大防止措置
個人情報の漏えい等が生じた場合、漏えい先の特定を直ちに行
い、当該漏えい先に対して、個人情報の返還・破棄を求めると共
に、個人情報の使用状況を確認し、漏えいの拡大防止に努める。
(2) 再発防止措置・処分等
@ 再発防止措置の決定・公表
再発防止に向けた具体的な社内体制、物理的安全措置、人的安
全措置の再検討を行い、速やかに実施する。検討にあたっては、
可能な限り外部の専門家をアドバイザーとして活用する。
A 社内処分の決定・公表
調査の結果、個人情報の取扱に関し不正を働くなどした者に対し
て、刑事告発、損害賠償等民事手続、懲戒等の処分を行う。個人
情報保護管理責任者及び漏えい等に係る部署の個人情報管理
者に対しても必要に応じて社内処分等の措置を決定し、実施す
る。
B 損害賠償額等の決定
委託先、従業員に対する損害賠償額を算定するにあたっては、以
下の事項を勘案する。
a 顧客に対する損害填補費用(謝罪品も含む。)
b 漏えいの対応に要した費用
c
漏えいの対象となった個人情報の回収に係る費用
|
