endoのコンサル日誌 - Pマーク（プライバシーマーク）, ISMS -

JIPDECのプライバシーマーク事務局が「FAQ：個人情報の取扱いにおける事故等の報告について(平成21年9月3日)」を発表しました。
http://privacymark.jp/privacy_mark/faq/accident_report.html

事故の報告について、制度上様々な混乱があってのことだと推察します。

プライバシーマーク認定事業者としては、事故の報告は、できれば避けたいものです。

しかし、プライバシーマーク事務局は、事故に対して欠格事項を定めている以上、認定事業者から報告してもらわないといけません。

（そもそもこの「欠格事項」の必要性は何なのかという話は、また別の大きな主題ですが。）

この事故の指定機関(JIPDEC等)への報告の根拠は、「プライバシーマーク制度設置及び運営要領」（平成20年8月8日改訂施行）の第19条の2「プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関に報告しなければならない」にあります。

しかし、混乱の元凶は、この「事故等」の定義が、この「運営要領」にないことだと思います。

「事故等」？　　「等」とは？
と考えてしまいます。

例えば、名刺入れを廊下に落として5秒後に拾ったのは、「事故等」なのか。
「等」に含まれるかもしれませんよね、定義がない以上。

「良識で判断できるでしょう」と言われればそうかもしれませんが、そもそも客観的に判断できない規定なら大した意味はないと思います。

そこで、プライバシーマーク事務局はFAQという形で、この条項を補っているのでしょう。

しかし、このFAQが、この「運営要領」の規定を支える根拠となり得るとの規定はないので、「FAQに従うと同意はしていないので、FAQに従う義務はないと考える」と主張する人も出てくるかもしれません。

しかも、このFAQでも、依然として「事故等」を定義していません。

ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「漏えい等（漏えい、滅失又はき損）の事故」と表記していますので、こちらは比較的具体的です。しかも、このガイドラインのこの部分は義務規定ではないということを考慮すれば、この程度の具体性でも十分かもしれません。

ですので、プライバシーマーク事務局にはぜひ、「事故等」を定義するか、経済産業省のガイドラインに合わせた表記をするなどして、一層の秩序をもたらしてほしいと思います。

個人的には、プライバシーマーク事務局の働きにはとても感謝しています。

今後も大きな期待を寄せていていますのでよろしくお願いします！

※これは法律や契約の解釈についての主張ではありません。当方は法律の専門家ではありませんので、法律や契約の解釈や正当性については法律の専門家にお尋ねください。