【「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」のＱ＆Ａを更新】

個人情報保護委員会によりから、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に関するＱ＆Ａのページが更新されました。今回の更新は、そのＱ＆Ａに、いわゆるフィッシングサイトによる特定個人情報の漏えい及びクラウドサービス提供事業者による漏えい等報告の代行報告に関する内容を盛り込んだものです。

既存のＱ＆Ａの更新箇所は、赤字（更新した部分には下線・削除した部分には取消線）で示して掲載し、新たに追加したＱ＆Ａは全体を黒字で掲載しています。また、更新理由を併せて記載しています。


【事業者編】
【（別添２）漏えい等報告等】
17：特定個人情報の漏えい等の報告等

Ｑ17－７：本人が第三者の作成した個人番号利用事務等実施者の正規のウェブサイトに偽装したウェブサイト（いわゆるフィッシングサイト）にアクセスし、当該個人番号利用事務等実施者が取り扱う特定個人情報と同じ内容の特定個人情報（個人番号等）を入力した場合、当該個人番号利用事務等実施者による報告対象となりますか。


Ａ17－７：本人が第三者に個人番号利用事務等実施者の取り扱う特定個人情報と同じ内容の特定個人情報を詐取されておりたのみでは、個人番号利用事務等実施者から第三者に当該個人番号利用事務等実施者の取り扱う特定個人情報が漏えいしていないことから、当該個人番号利用事務等実施者による報告対象にならないと考えられます。

なお、正規のウェブサイトを運営する個人番号利用事務等実施者においても、本人が特定個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があると考えられます。（令和４年４月追加・令和６年２月更新）

（更新理由）
「『個人情報の保護に関する法律についてのガイドライン』に関するＱ＆Ａ」６－６の更新を踏まえた検討結果を踏まえ、Ｑ＆Ａを更新しました。


Ｑ17－７－２：本人が第三者の作成した個人番号利用事務等実施者の正規のウェブサイトに偽装したウェブサイト（いわゆるフィッシングサイト）にアクセスして入力した情報を利用して、第三者が本人になりすまし、特定個人情報が表示される当該個人番号利用事務等実施者の正規のウェブサイトにログインした場合、当該個人番号利用事務等実施者による報告対象となりますか。


Ａ17－７－２：個別の事案ごとに判断されるものの、本人が個人番号利用事務等実施者の正規のウェブサイトに偽装したウェブサイト（いわゆるフィッシングサイト）に入力した情報を利用して第三者が本人になりすまし、特定個人情報が表示される個人番号利用事務等実施者の正規のウェブサイトにログインした場合には、一般的には、不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態（行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の４第１項及び第２項に基づく特定個人情報の漏えい等に関する報告等に関する規則第２条第２号イ）が生じたものとして、報告対象となると考えられます。（令和６年２月追加）

（更新理由）
「『個人情報の保護に関する法律についてのガイドライン』に関するＱ＆Ａ」６－６の更新を踏まえた検討結果を踏まえ、Ｑ＆Ａを追加しました


Ｑ17－17：クラウドサービス提供事業者が、特定個人情報を取り扱わないこととなっている場合（Ｑ３－12、Ｑ３―13参照）において、報告対象となる特定個人情報の漏えい等が発生したときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれぞれ報告義務を負いますか。


Ａ17－17：クラウドサービス提供事業者が、特定個人情報を取り扱わないこととなっている場合において、報告対象となる特定個人情報の漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。また、クラウドサービス提供事業者は、番号法第29条の４第１項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。（令和４年４月追加・令和６年２月更新）

（更新理由）
「『個人情報の保護に関する法律についてのガイドライン』に関するＱ＆Ａ」６－19の更新を踏まえた検討結果を踏まえ、回答を更新しました。