漏えい等の報告等(26条)
1項
【原則:個人情報を漏洩させた場合、報告が必要】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
【例外】
ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、上記報告は不要です。
2項
【原則:本人に情報漏洩した旨を通知】
上記に規定する場合(個人情報を漏洩させてしまった場合)には、個人情報取扱事業者(上記ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。
【例外】
ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、本人への通知は不要。
漏えい報告義務違反に対する命令(145条3項)
26条の漏えい等の報告義務に違反した場合、個人情報保護委員会は、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
命令違反に対する罰則(173条)
145条3項の規定による命令に違反した場合には、当該違反行為をした者は、1年以下の懲役又は100万円以下の罰金に処する。