【「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」のQ&Aを更新】
個人情報保護委員会によりから、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に関するQ&Aのページが更新されました。今回の更新は、そのQ&Aに、いわゆるフィッシングサイトによる特定個人情報の漏えい及びクラウドサービス提供事業者による漏えい等報告の代行報告に関する内容を盛り込んだものです。
既存のQ&Aの更新箇所は、赤字(更新した部分には下線・削除した部分には取消線)で示して掲載し、新たに追加したQ&Aは全体を黒字で掲載しています。また、更新理由を併せて記載しています。
【事業者編】
【(別添2)漏えい等報告等】
17:特定個人情報の漏えい等の報告等
Q17-7:本人が第三者の作成した個人番号利用事務等実施者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)にアクセスし、当該個人番号利用事務等実施者が取り扱う特定個人情報と同じ内容の特定個人情報(個人番号等)を入力した場合、当該個人番号利用事務等実施者による報告対象となりますか。
A17-7:本人が第三者に個人番号利用事務等実施者の取り扱う特定個人情報と同じ内容の特定個人情報を詐取されておりたのみでは、個人番号利用事務等実施者から第三者に当該個人番号利用事務等実施者の取り扱う特定個人情報が漏えいしていないことから、当該個人番号利用事務等実施者による報告対象にならないと考えられます。
なお、正規のウェブサイトを運営する個人番号利用事務等実施者においても、本人が特定個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があると考えられます。(令和4年4月追加・令和6年2月更新)
(更新理由)
「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」6-6の更新を踏まえた検討結果を踏まえ、Q&Aを更新しました。
Q17-7-2:本人が第三者の作成した個人番号利用事務等実施者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)にアクセスして入力した情報を利用して、第三者が本人になりすまし、特定個人情報が表示される当該個人番号利用事務等実施者の正規のウェブサイトにログインした場合、当該個人番号利用事務等実施者による報告対象となりますか。
A17-7-2:個別の事案ごとに判断されるものの、本人が個人番号利用事務等実施者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)に入力した情報を利用して第三者が本人になりすまし、特定個人情報が表示される個人番号利用事務等実施者の正規のウェブサイトにログインした場合には、一般的には、不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態(行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則第2条第2号イ)が生じたものとして、報告対象となると考えられます。(令和6年2月追加)
(更新理由)
「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」6-6の更新を踏まえた検討結果を踏まえ、Q&Aを追加しました
Q17-17:クラウドサービス提供事業者が、特定個人情報を取り扱わないこととなっている場合(Q3-12、Q3―13参照)において、報告対象となる特定個人情報の漏えい等が発生したときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれぞれ報告義務を負いますか。
A17-17:クラウドサービス提供事業者が、特定個人情報を取り扱わないこととなっている場合において、報告対象となる特定個人情報の漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。また、クラウドサービス提供事業者は、番号法第29条の4第1項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。(令和4年4月追加・令和6年2月更新)
(更新理由)
「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」6-19の更新を踏まえた検討結果を踏まえ、回答を更新しました。
詳しくは下記参照先をご覧ください。
- 参照ホームページ [ 個人情報保護委員会 ]
- https://www.ppc.go.jp/legal/policy/faq/#osirase