アドバイザリー
GDPRコラム

第12回 個人データ侵害時の監督当局等への通知

2018.02.07

前回のコラムでは、EU GDPR対応のための規程類の整備についてご紹介しました。今回は、個人データ侵害時の監督当局等への通知についてご紹介します。


1.GDPRで求められる規制の概要

GDPRには「情報漏えい事故発生時の72時間以内の監督当局への通知」という要求事項があるとよく耳にしますが、まずは、規制の条文に立ち返って考えてみたいと思います。

第33条 個人データ侵害の監督機関への通知※1

  1. 個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72時間以内に、第55条に従って個人データの侵害を管轄監督機関に通知しなければならない。ただし、個人データの侵害により自然人の権利又は自由に対するリスクが生じ得ない場合を除く。(以下、略)

上記に加え、直後の34条には、以下の条文があります。

第34条 データ主体への個人データ侵害の通知

  1. 個人データ侵害が自然人の権利及び自由に対して高リスクを引き起こし得る場合、管理者は、不当な遅滞なしにデータ主体に個人データ侵害について通知しなければならない。(以下、略)

第33条が監督機関への通知で、第34条はデータ主体(本人)への通知について記載しています。 まず、「個人データの侵害」についてですが、第4条(定義)において、いわゆるデータ漏洩、流出といった機密性の観点だけではないことに注意が必要です。


第4条 定義

(12)「個人データ侵害」とは、移転、保存又はその他の取扱いがなされた個人データに対する偶発的又は違法な破壊、滅失、変更、許可されていない開示又はアクセスをもたらすセキュリティ侵害をいう。

また、第33条の条文では「侵害に気が付いてから」、「自然人の権利又は自由に対するリスクが生じ得ない場合を除く」という文言、第34条では「自然人の権利及び自由に対して高リスク」という記載に着目した上で理解を進めることが有用です。
インシデント発生時から72時間ではなく、セキュリティ事象を検知、初期調査を行い、「自然人の権利又は自由に対するリスクがある」個人データ侵害を認知した時点から72時間になるということです。


2.自然人の権利又は自由に対するリスク

第33条、第34条に共通して、「自然人の権利又は自由に対するリスク」(第34条は高リスクが対象)という条文があります。GDPRは、サイバーセキュリティの規制ではなく、個人データのコントロールという権利を出発点にした規制です。したがって、セキュリティインシデント全てが通知対象になるわけではなく、情報セキュリティの3要素であるCIA(Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の各観点から、自然人の権利又は自由に対するリスクを侵害するかどうかを、インシデントごとに判断します。
例えば、暗号化した個人データを保存したUSBメモリが紛失したとしても、①暗号アルゴリズムが危殆化(※)していない、②暗号鍵は漏えいしていない、③バックアップデータは別に存在するといった場合、機密性の観点では①・②で担保され、可用性の観点では③で担保されることから、これは通知対象外となります。ただし、アカウンタビリティの観点から、インシデントの経緯や上記の判断経緯を文書に残しておくこと(文書化)は必要です。また、①暗号アルゴリズムが危殆化していない、というのは事故発生時点の状況ですので、その後、もし将来的に暗号アルゴリズムが危殆化した場合には通知対象になります。これに対応する意味でも、全インシデントを記録しておくことが必要です。

(※)危殆化:計算能力の向上などによって、鍵の推定が可能となり、暗号の安全性が低下すること


3.侵害に気づく、インシデント情報収集態勢

72時間の事故通知規制はいたずらに設定された要求事項ではなく、背景は、「自然人の権利又は自由に対するリスク」がある個人データ侵害事案について、タイムリーに対応、必要に応じて本人に対応策を通知することで、データ主体の被害を最小化するものです。
よって、全容解明した段階での通知を求めているわけではなく、判明している状況の通知であっても構いません。

企業によっては、いわゆる「生煮え」の報告は敬遠されるかもしれませんが、GDPR対応においては、それが肝要です。日本本社への事故報告規程に、報告書様式が添付されていることがありますが、それを完全に埋めることを優先すると72時間を越えてしまいかねないので、「第一報」という位置づけでの報告内容の整理が必要です。

EU居住者データに関する個人データ侵害事案について、①全容解明でなくも「第一報」を受け入れること、②そのような「第一報」でも報告してくれるような海外子会社担当者との日頃の信頼関係、③アジア・米国等を含む海外子会社におけるGDPRへの理解が、日本本社のグローバル企業のGDPR対応には必要になります。
また、規程の整備としては、①どの会社(日本本社、欧州地域統括会社、その他の海外子会社)の誰(コンプライアンス部門か、ITセキュリティ部門か)が、②どこの監督機関に通知するかを平時に定めておくことで、限られた時間の中での対応には重要です。
さらに、委託先(処理者)との取り決め(エスカレーション基準、管理者と処理者のどちらが監督機関に通知するか)も必要です。
以上、個人データ侵害時の通知についてご紹介しました。GDPRにおける個人データ侵害の通知における考え方は、29条作業部会ガイドライン「Guidelines on Personal data breach notification under Regulation 2016/679 EY Japanウェブサイトへ」を一読することで理解が深まります。

次回のコラムでは、EEA域内に海外子会社を持たないものの、GDPR適用対象となる日本企業の対応を解説します。

※1 GDPR条文の翻訳は、一般財団法人日本情報経済社会推進協会による仮訳(2016年8月) EY Japanウェブサイトへによる


GDPRコラム

【関連ページ】



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?