マイナンバーの“お漏らし第一号”になったら？（2/3 ページ）

[齊藤愼仁，ITmedia]

事案発覚時に事業者が講じるべき処置

　時系列で書くと

1. 事業者内部における報告
2. 被害の拡大防止
3. 事実関係の調査、原因の究明
4. 影響判定の特定
5. 再発防止策の検討・実施
6. 影響を受ける可能性のある本人への連絡等
7. 事実関係、再発防止策等の公表

　というわけですが、この時系列は参考までということで、必ずしも「この流れでやりなさい」というわけではありません。企業の体制に応じてこの辺は見直し、あらかじめ策定しておくことが重要です。

事業者内部における報告

マイナンバー、お漏らししたあとの対策は……

　事業者内部における報告については、

　「責任のある立場の者」に直ちに報告すること。

　と、書かれているんですね。一体それは誰なんだということなのですが、法律上では役職などは限定されていません。ただ事実上、情報は「責任ある立場の者」に集まるわけですから、取扱規定等により、事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要とのことでした。

事案発覚時に事業者が講じるべき処置

　内部報告と同時に、拡大防止措置をとりなさいと。外部からの不正アクセスや不正プログラムの感染が疑われる場合は、さっさとネットワークから切り離せ（LANケーブルをポイしなさい）などなどやりましょうと。

　それから、調査した事実関係を元に、「影響範囲の特定」を行いますが、これは最終的には内容次第でいかようにも変わるのですが、例えば漏えい事案であれば、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえて、影響の範囲を特定することが一般的ではないかと。

　んでもって、それらの情報を元に、再発防止策の検討をさっさとやりましょうという流れ。

影響を受ける可能性のある本人への連絡等

　「事案の内容等に応じて」、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに本人へ連絡、又は「本人が容易に知り得る状態に置くこと」が求められます。これについては、電話で連絡したとか、口頭で伝えた、で済めば良いのですが、会社にいない、電話も出ない、なんてときには、郵便等で連絡するのでもOKということでした。ただし返送されなければ。

　ちなみに「本人が容易に知り得る状態にして置くこと」としては、本人がアクセス（ログイン）できるWebページへの掲載や、専用窓口の設置による対応が想定されているそうです。まぁこの辺は多種多様でいいと思います。

本人への連絡・公表を省略できるケース

　特定個人番号を漏えいしたら、何でもかんでも本人へ連絡しなければならないわけではありません。

• 紛失したデータを第三者に見られることなく速やかに回収できた場合
• 高度な暗号化等の秘匿化が施されていて、紛失したデータだけでは本人の権利利得が侵害されていないと認められる場合
• サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合

　というわけで、こちらも慌てず落ち着いて状況判断しましょうねということです。