個人情報の漏えいの事故や事件をプライバシーマークの規格や仕組みの中では緊急事態という表現を使います。
実際、プライバシーマークを取得するためにはこういった緊急事態に備えて手順を定めておく必要があります。
規格であるJISQ15001:2006には緊急事態に備えて下記の内容を定めるようしています。
a)当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くこと。
b)二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
c)事実関係、発生原因及び対応策を関係機関に直ちに報告すること。
※JISQ15001:2006から3.3.7緊急事態への準備から引用
規格で主に言われているのは、何か事故が発生した場合には、その事実を公表することはもちろんですが、なぜその事故が発生したかの原因や、今後同様の事故が発生しないためにどういった対応策を講じたのかを公表もしくは本人へ伝える必要があります。
また、本人へ状況や原因・今後の対策を伝えるだけではなく、関係機関へ報告することもJISQ15001:2006の中で求めらています。
関係機関と言ってもすぐに浮かばないと思いますが、その会社の監督官庁などが言われてきます。
民間企業であれば、ほとんどが経済産業省が監督官庁にあたりますが、学校法人なんかであれば、文部科学省ですし、プライバシーマークを取得している事業者がどういったところかによって変わってくるところになります。
監督官庁以外ではプライバシーマークの取得の際の審査機関や認定個人情報保護団体に所属されている場合は所属してりう元の機関なども報告先の対象に含まれてきます。
プライバシーマークを取得するにあたり、事故が起きないように如何に管理するかも重要ですが、万が一事故が発生した場合にどう対応するかもきちんと定めておく必要がある。ということになります。