今回は、「J.4.4.2 緊急事態への準備」の要求事項に関する
審査基準変更のポイントについて、お伝えいたします。

プライバシーマーク制度における「緊急事態」とは、
個人情報の取扱いにおいて、以下の事象が発生した場合のことを指します。
①漏えい
②紛失
③滅失・き損
④改ざん、正確性の未確保
⑤不正・不適正取得
⑥目的外利用・提供
⑦不正利用
⑧開示等求めの拒否
⑨上記①~⑧のおそれ

これらの緊急事態が発生した場合に、報告等が必要となる
関係機関及び利害関係者をあらかじめ特定するよう、ルールが追加されました。

なお、ここでいう「関係機関」とは、プライバシーマーク付与機関や審査機関、
個人情報保護委員会などを指します。
また、利害関係者とは、委託元や委託先、グループ会社などを指します。

緊急事態発生時には、思わぬトラブルで混乱することが想定されます。
このため、緊急事態発生時に、関係機関及び利害関係者と速やかに連携できるように、
あらかじめ報告先や電話番号等の連絡手段を特定することが求められています。

また、当該報告先や連絡手段について、一度特定するだけでなく、
BCP(事業継続計画)の観点から少なくとも年に1回以上は見直すと良いでしょう。