個人情報の漏えいなど、緊急事態への準備とその対応手順の確立に関する要求事項が「3.3.7 緊急事態への対応」です。
緊急事態に対応するためには
「3.3.1 個人情報の特定」で特定した個人情報に関する緊急事態への対応手順を「3.3.7 緊急事態への対応」では要求しています。
対応手順については、以下の要件を規定しています。
- 緊急事態を特定する手順及び、特定した緊急事態の取扱手順を確立し、維持すること
- 緊急事態発生時の影響を最小化するための手順を確立し、維持すること
- 緊急事態発生時の本人への通知、公表及び報告に関する手順を確立し、維持すること
緊急事態の特定と対応手順の確立
緊急事態の特定に関して、取り扱う個人情報の特性やその取り扱うプロセス及びその他の自社の環境を考慮した結果、「JIS Q 15001:2006 解説 3.2.7」では、以下の側面を考慮することが望ましいとしています。
- 緊急事態が最も起こりやすい側面の抽出
- 事故が最も起こりやすい側面の抽出
- 予想される被害の規模の評価
なお、対応手順の策定に関しては、以下の内容を含むことが望ましいとしています。
- 被害を最小化するための一時的な対応手順の決定
- 社内の緊急連絡網の策定
- 社外への報告手順の策定
- 再発帽子を実施するための手順の策定
- 緊急対応についての教育及び訓練
個人情報事故発生時の本人への通知、公表及び報告手順
規格では、個人情報事故発生時(漏えい、滅失または棄損など)の以下の手順を確立することを要求しています。しかし「JIS Q 15001:2006 解説 3.2.7」では、これらを常に実施しなければならないということではなく、法令や省庁のガイドライン、または所属する団体の規範などに定められた適切な処置を実施することで足りうる、としています。
- 本人への速やかな通知、又は容易に知り得る状態の確保
- 可能な限りの事実関係、発生原因及び対応策の遅滞のない公表(二次被害の防止)
- 事実関係、発生原因及び対応策の関係期間への報告
公表に関する留意点
「JIS Q 15001:2006 解説 3.2.7」では、公表に関する内容、手段及び方法を考慮することにより、事案の公表については、本人への二次被害などを防止することが必要であるとしています。
すなわち、公表内容に対象となる個人情報の具体的範囲や本人の氏名などを含めてしまうことにより、逆に本人への権利利益の侵害に結びつくことがないよう配慮しなければならないとしています。
また、個人情報をその本人から取得しているのではなく、委託を受けている事業者がこのような事案が発生し、公表というアクションを起こす場合には、委託元と締結した契約に従うか、または契約に規定がない場合は事前に委託元に相談した上でアクションを起こす必要があるとしています。