緊急事態を特定する手順を策定し、対応手順を確立します
「緊急事態」とは、個人情報の漏洩や紛失などによって、個人情報の当該本人や組織などに損害や影響を及ぼすような脅威が発生した状況のことです。その特定にあたってはJISQ15001の要求事項である「リスク分析・評価」において明らかにした脅威や脆弱性を分析して、明確にしなければなりません。
緊急事態の報告を受けた責任者については、内容を確認し、以降の緊急事態に関する処置が必要かどうかを判定する責任を担うことになります。注意すべきことは、定義した緊急事態が生じたかどうか判断が付かないレベルでも報告は迅速に行うことが必要であると組織内に周知させておくことです。
緊急事態が発生したら、被害を最小限に抑えるための手順を確立する必要があります。まず状況の把握です。個人情報の該当本人への影響を考慮して、被害の範囲を調査して、本人へ報告します。この報告により、悪意を持った第三者への軽快を本人へ意識づけするわけです。また、ネットワークの脆弱性が疲れた事故の場合は原因が明らかになるまでサービスを停止します。
緊急事態を認識した時点で、速やかに被害範囲と状況について公表します。公表する範囲は「本人」、委託元データの場合は「委託元」、「主務大臣(監督官庁)」、「加盟している認定個人情報保護団体」が最低限含まれます。
該当する本人が大量である場合、もしくは具体的な範囲が特定できないような場合は、事態の公表のために新聞等のマスコミに対して連絡できるような体制も必要です。プライバシーマークの認定を受けている組織であれば、日本情報処理開発協会(JIPDEC)へ報告するように規定しておきましょう。