時系列で書くと
というわけですが、この時系列は参考までということで、必ずしも「この流れでやりなさい」というわけではありません。企業の体制に応じてこの辺は見直し、あらかじめ策定しておくことが重要です。
事業者内部における報告については、
「責任のある立場の者」に直ちに報告すること。
と、書かれているんですね。一体それは誰なんだということなのですが、法律上では役職などは限定されていません。ただ事実上、情報は「責任ある立場の者」に集まるわけですから、取扱規定等により、事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要とのことでした。
内部報告と同時に、拡大防止措置をとりなさいと。外部からの不正アクセスや不正プログラムの感染が疑われる場合は、さっさとネットワークから切り離せ(LANケーブルをポイしなさい)などなどやりましょうと。
それから、調査した事実関係を元に、「影響範囲の特定」を行いますが、これは最終的には内容次第でいかようにも変わるのですが、例えば漏えい事案であれば、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえて、影響の範囲を特定することが一般的ではないかと。
んでもって、それらの情報を元に、再発防止策の検討をさっさとやりましょうという流れ。
「事案の内容等に応じて」、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに本人へ連絡、又は「本人が容易に知り得る状態に置くこと」が求められます。これについては、電話で連絡したとか、口頭で伝えた、で済めば良いのですが、会社にいない、電話も出ない、なんてときには、郵便等で連絡するのでもOKということでした。ただし返送されなければ。
ちなみに「本人が容易に知り得る状態にして置くこと」としては、本人がアクセス(ログイン)できるWebページへの掲載や、専用窓口の設置による対応が想定されているそうです。まぁこの辺は多種多様でいいと思います。
特定個人番号を漏えいしたら、何でもかんでも本人へ連絡しなければならないわけではありません。
というわけで、こちらも慌てず落ち着いて状況判断しましょうねということです。
Copyright © ITmedia, Inc. All Rights Reserved.