行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則《本則》

制定文 行政手続における特定の個人を識別するための番号の利用等に関する法律 （2013年法律第27号）第28条の4の規定に基づき、特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則を次のように定める。

1条 （定義）

1項 この規則において使用する用語は、 行政手続における特定の個人を識別するための番号の利用等に関する法律 （以下「 法 」という。）において使用する用語の例による。

2条 （個人の権利利益を害するおそれが大きいもの）

1項 法 第29条の4第1項 《個人番号利用事務等実施者は、特定個人情報…》 ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個 本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

1号 次に掲げる特定個人情報（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。）の漏えい、滅失若しくは毀損（以下「 漏えい等 」という。）が発生し、又は発生したおそれがある事態

イ 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報

ロ 個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報

ハ 行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報

2号 次に掲げる事態

イ 不正の目的をもって行われたおそれがある特定個人情報の 漏えい等 が発生し、又は発生したおそれがある事態

ロ 不正の目的をもって、特定個人情報が利用され、又は利用されたおそれがある事態

ハ 不正の目的をもって、特定個人情報が提供され、又は提供されたおそれがある事態

3号 個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態

4号 次に掲げる特定個人情報に係る本人の数が100人を超える事態

イ 漏えい等 が発生し、又は発生したおそれがある特定個人情報

ロ 法 第9条 《利用範囲 別表の各項の上欄に掲げる行政…》 機関、地方公共団体、独立行政法人等その他の行政事務を処理する者法令の規定により同表の当該各項の下欄に掲げる事務の全部若しくは一部を行うこととされている者又は当該事務に準ずる事務個別の法律の規定に基づく の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報

ハ 法 第19条 《特定個人情報の提供の制限 何人も、次の…》 各号のいずれかに該当する場合を除き、特定個人情報の提供をしてはならない。 1 個人番号利用事務実施者が個人番号利用事務を処理するために必要な限度で本人若しくはその代理人又は個人番号関係事務実施者に対し の規定に反して提供され、又は提供されたおそれがある特定個人情報

3条 （個人情報保護委員会への報告）

1項 個人番号利用事務実施者及び個人番号関係事務実施者（以下「 個人番号利用事務等実施者 」という。）は、 法 第29条の4第1項 《個人番号利用事務等実施者は、特定個人情報…》 ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個 本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項（報告をしようとする時点において把握しているものに限る。次条において同じ。）を報告しなければならない。

1号 概要

2号 特定個人情報の項目

3号 特定個人情報に係る本人の数

4号 原因

5号 二次被害又はそのおそれの有無及びその内容

6号 本人への対応の実施状況

7号 公表の実施状況

8号 再発防止のための措置

9号 その他参考となる事項

2項 前項の場合において、 個人番号利用事務等実施者 は、当該事態を知った日から30日以内（当該事態が前条第2号に定めるものである場合にあっては、60日以内）に、当該事態に関する前項各号に定める事項を報告しなければならない。

3項 法 第29条の4第1項 《個人番号利用事務等実施者は、特定個人情報…》 ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個 本文の規定による報告は、個人情報保護委員会に対して、電子情報処理組織（個人情報保護委員会の使用に係る電子計算機と報告をする者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。以下この項において同じ。）を使用する方法（電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては別記様式による報告書を提出する方法、個人情報保護委員会が別に定める場合にあってはその方法）により行うものとする。

4条 （他の個人番号利用事務等実施者への通知）

1項 個人番号利用事務等実施者 は、 法 第29条の4第1項 《個人番号利用事務等実施者は、特定個人情報…》 ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個 ただし書の規定による通知をする場合には、 第2条 《定義 この法律において「行政機関」とは…》 、個人情報の保護に関する法律以下「個人情報保護法」という。第8項に規定する行政機関をいう。 2 この法律において「独立行政法人等」とは、個人情報保護法第9項に規定する独立行政法人等をいう。 3 この法 各号に定める事態を知った後、速やかに、前条第1項各号に定める事項を通知しなければならない。

5条 （本人に対する通知）

1項 個人番号利用事務等実施者 は、 法 第29条の4第2項 《2 前項に規定する場合には、個人番号利用…》 事務等実施者同項ただし書の規定による通知をした者を除く。は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。 ただし、本人への通知が困難な場合であっ 本文の規定による通知をする場合には、 第2条 《定義 この法律において「行政機関」とは…》 、個人情報の保護に関する法律以下「個人情報保護法」という。第8項に規定する行政機関をいう。 2 この法律において「独立行政法人等」とは、個人情報保護法第9項に規定する独立行政法人等をいう。 3 この法 各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、 第3条第1項第1号 《個人番号及び法人番号の利用は、この法律の…》 定めるところにより、次に掲げる事項を旨として、行われなければならない。 1 行政事務の処理において、個人又は法人その他の団体に関する情報の管理を一層効率化するとともに、当該事務の対象となる者を特定する 、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。

6条 （雑則）

1項 この規則に定めるもののほか、この規則の実施に関し必要な事項は、個人情報保護委員会が定める。