事故報告書とは
Pマークを取得している事業者は、個人情報の漏えい、紛失、滅失・き損、改ざん、正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等の求め等の拒否が発覚した際は、審査機関に対して「個人情報の取扱いに関する事故等の報告書」を提出しなければなりません。これが事故報告書です。Pマークを付与されている事業者はもちろんですが、現在Pマークの審査のために申請している事業者や、これから申請を予定している事業者も報告をする必要があります。
事故報告が必要なケース
JIPDECによると個人情報の事故は、影響範囲の大きさや件数を問わず「全て」報告すべきというのが原則となっています。例を挙げると下記のようなケースでも報告しなければなりません。
- 名刺1枚の紛失
- 代表者名のみが記載されている書類の紛失
- 個人情報を保管したPCの紛失(その後発見された場合でも)
PCの紛失はわかりますが、代表者名が入っている書類を紛失したケースでも報告しなければいけないというかなり厳しい規則となってします。
事故報告が不要なケース
逆に下記のようなケースでは報告しなくてもよいとされています。
- 委託元で事故が発生した
- 本人のセキュリティカードを紛失した
- 本人のカバンを紛失し、免許証などがなくなった
セキュリティカードを紛失した場合、会社としては始末書レベルですが、Pマーク上は事故にはなりません。
審査機関への報告の本音と建前
このように、名刺1枚の紛失など個人情報とはいえ紛失してもほぼ影響がないと判断されるケースでも事故報告しなければならず、例えば取引先の重要な部屋に入るためのセキュリティカードを紛失しても事故報告の必要はないという現実とは乖離した内容となっています。ただしこれはあくまでも審査機関の建前です。ここまでは報告しなくていいですよというものを明文化してしまうと、重要な事故が発生しても事業者は報告しなくなってしまうため、あえて厳しいルールにしているのです。
ただし、本当に名刺1枚で事故報告をするとなると、約15000社ある会社から審査機関に対して毎日のように報告が入ることになり、審査機関がパンクしてしまうでしょう。そのため、名目上は「個人情報事故は全て報告」とはなっていますが、ほぼ影響のない軽微な事故は必ずしも報告しなくてもよい(しないでほしい)というのが審査機関の本音です。どのレベルから報告するべきかという明確なルールはないため、過去の事例ベースになりますので、判断に困った際はPマークのコンサル会社などに相談してみるとよいでしょう。