個人情報漏えいの事故、、、もちろん起こってほしくないことではありますが、プライバシーマークを取得するためには「緊急事態の準備」という項目で万が一に備えた手順、様式を定めておく必要があります。
どんな内容を手順化等しておくべきかは前回のブログでもご紹介しました。
ただ、実際個人情報の漏えい等の事故が起きた場合どう対応したらよいのか、分からなくなる方がほとんどのようです。
今回のブログでは個人情報の漏えい等の事故が発生した場合に行わなければならないこと。を少しご紹介したいと思います。
まず、個人情報の漏えい等の事故が発覚した場合に事実確認やどの程度の規模の事故なのかきちんと事態を把握する必要があります。
どんな情報なのか、どの程度の量なのか、また紛失なのか漏えいなのかなど事態を把握する必要があります。
そしてその事故がなぜ起きたかの原因を把握し、その事故が今後起きないようにリスク分析を再度行ってもらう必要があります。
なぜかと言うと事故が発生したことで今行っている対策に問題があったことの証明になってしまいますのでリスク分析をもう一度行う必要があります。
そして、そこで決めた管理策を実施し、事故の内容等を踏まえてマネジメントレビューを行う。
ここまでがよく実施される内容になってきているようです。
ただ、運用とマネジメントレビューの間に内部監査を行い、きちんと問題ないか。チェックを行った上でマネジメントレビューまで実施することがベストであると言えます。
また、忘れてはいけないのが審査機関と主務大臣への報告です。
プライバシーマークを取得している企業は必ず審査機関へ報告する義務があるので忘れてはいけません。
どのタイミングで行うかというとJIPDECのFAQには事後対応策が決まった段階で所定の事故報告書を提出
することになっておりますが、事前に電話等で一方入れられることをお勧めしておりますし、実際にそうなさっている方が多いです。
事故報告書の内容等を審査機関が見て対策を問題があるのであれば是正要求が出てきますのでそちらも対応してもらう必要もあります。
主務大臣への報告ですが、これは業種や内部文書にどう定めているかによりますが、各監督官庁のガイドラインにどう定められているかによりますのでそちらを参照していただければと思います。
個人情報の漏えい等の事故は起きないことにこしたことはないですが、万が一に備えてどうしなければならないのか、準備いただくにこしたことはないと思います。