【目次】 「個人情報保護法と管理組合」  > 【前頁】 付録1:管理組合プライバシーポリシーのガイドライン 
 > 付録2:プライバシーの侵害に対応する主要な4つのステップ

管理組合のための
個人情報保護ガイドライン (Privacy Guidelines for Strata)

付録2:プライバシーの侵害に対応する主要な4つのステップ

 付録2:プライバシーの侵害に対応する主要な4つのステップ 目次
  第1ステップ:漏洩又は侵害の内容を把握する
  第2ステップ:漏洩、侵害に関連するリスクを評価する
  第3ステップ:影響を受ける個人への通知
  第4ステップ:個人情報の漏洩及び侵害の予防

第1ステップ:漏洩又は侵害の内容を把握する

個人情報の漏洩又は不正な侵害行為があった場合、管理組合は、 認められていない不正規な業務を中止させること、 記録を回復したり、不正侵入があったシステムをシャットダウンしたり、 物理的なセキュリティの弱点を修正したりすることを、直ちに行わなければなりません。

侵害に盗難その他の犯罪行為が含まれている場合は、警察に通知してください。

第2ステップ:漏洩、侵害に関連するリスクを評価する

管理組合は、プライバシー侵害の潜在的影響を受ける可能性のある当事者に、 どのような影響を及ぼす可能性があるかを評価する必要があります。

管理組合は、影響を受ける当事者に通知すべきかどうかを決定し、 通知する場合は、所定の様式で通知する必要があります。

()個人情報が含まれている場合

○ 漏洩又はプライバシー侵害を受けた個人情報はどのようなデータ要素でしたか?
 一般に、データの秘匿性・機密性が高ければ高いほど、リスクは高くなります。 健康情報、社会保険番号や財産に関する情報などのセンシティブ(機微)情報は、 盗難に会う可能性が高くなります。

○ その個人情報にはどのような目的に使われる可能性がありますか?
 その情報を不正に、またはその他の有害な目的に使用される可能性はありますか?

()漏洩、侵害の原因と範囲

○ 個人情報の漏洩又はプライバシー侵害をもたらした原因は何ですか?

○ 情報が継続的にさらされるリスクはありますか?

○ 許可されていない個人情報の収集、使用または開示の期間及び範囲はどの程度でしたか?
 (可能性のある受取人の数と、マスコミやオンラインを含む更なるアクセス、使用、開示のリスク)

○ 情報は暗号化されていますか?

○ 被害を最小限に抑えるために管理組合はすでにどのような措置を講じていますか?

()漏洩、侵害行為の影響を受ける個人

○ 個人情報への不正な侵害行為の影響を受けた個人は何人ですか?

○ 侵害の影響を受けたのは?
 :従業員、一般人、請負業者、サービスプロバイダ、その他の組織?

()予見可能な侵害からの被害

○ 不正な受信者とデータ主体との間に関係はありますか?

○ どんな被害が生じますか
 ・セキュリティリスク(例えば、物理的安全性)
 ・個人情報の盗難または詐欺
 ・ビジネスや雇用機会の喪失
 ・信用及び名誉毀損、評判や社会的評価に対する損害

○ 個人情報への不正な侵害行為の結果、管理組合にどのような害が及ぶ可能性がありますか?
  例えば:
 ・管理組合の信用毀損
 ・管理組合の財産価値の毀損
 ・組合資金の外部流失

第3ステップ:影響を受ける個人への通知

個人情報の漏洩又は個人情報への不正な侵害行為があった場合は、 被害の拡大を避けるため、被害者への通知を遅滞なく行う必要があります。

個人に通知するかどうかを決定する際の考慮事項は次のとおりです。

法律上の手続きとして通知を必要とする場合

契約上の義務として通知を必要とする場合

ID(個人識別番号)の盗難や詐欺のリスクがある場合

身体的傷害のリスクがある場合(ストーカーや嫌がらせの危険にさらされる場合)

精神的苦痛、侮辱、評判を貶(おとし)めるリスク(例えば、病院の診療歴または懲戒記録の流失)

管理組合は、プライバシー侵害について個人情報保護委員会に通知することがあります。 個人情報保護委員会は、管理組合が講じた手順が個人情報保護法上の組織の義務を遵守しているかを確認します。

第4ステップ:個人情報の漏洩及び侵害の予防

個人情報の漏洩及び個人情報への不正な侵害が発生したときは、 直ちにリスクを緩和する措置をとり、次いでそれらが起こった原因を徹底的に調査してください。 これには、安全に関する物理的及び技術的な監査が要求されます。

これらの監査と評価を通じて、管理組合は、手続きや制度の改善など適切な保護措置を講ずる必要があります。

プライバシーポリシーは、原因調査から得た教訓を反映して見直しを行い、その後も定期的に更新されなければなりません。

予防計画が完全に実施されるのを確実にするために、 プロセスの最後に結果として得られる計画には、監査の要件も含める必要があります。

個人情報保護委員会は、管理組合がプライバシー侵害に対処するのを支援しています。

訳注

原文に対する訳語は下記のとおりです。

【付録2:プライバシーの侵害に対応する主要な4つのステップ】
・機微情報(sensitive personal information)
・精神的苦痛、侮辱、評判を貶(おとし)めるリスク(risk of hurt, humiliation or damage to reputation)
・個人情報の漏洩又は不正な侵害(*原文はプライバシーの侵害(privacy breach)ですが、訳語では具体的な表現にしています。)