GDPR上, 個人データの漏えい等の事故(personal data breach)(個人データ侵害)が発生した場合, 事業者は, (i)監督機関, および, (ii)リスクが高度である場合にはデータ主体に対して通知しなければなりません(33, 34)。
この個人データ侵害通知ついては, WP29が作成し2018年2月6日に最終版が確定したGuidelines on Personal data breach notification under Regulation 2016/679(以下「個人データ侵害通知ガイドライン」)が公表されています。その概要を今回と次回の2回に分けて解説します。
|
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: GDPR 上の個人データ侵害通知義務を再確認したいのですが? Q5: 通知期限(72時間内)の起算点である侵害「認識」時点とは? |
Q1: GDPR 上の個人データ侵害通知義務を再確認したいのですが?
A1:以下の通りです。 (1)監督機関に対する通知義務 (33(1)) 個人データ侵害が発生した場合, 管理者は, 不当に遅滞することなく, 可能な場合(where feasible), 侵害認識後(after having become aware of it)72 時間以内に, 個人データ侵害を管轄監督機関に通知しなければならない。但し, 個人データ侵害により個人の権利自由に対するリスクが生じる可能性が低い(unlikely)場合を除く。 監督機関への通知が 72 時間を超えてなされる場合, 通知にはその遅滞理由を含めなければならない。[すなわち, 「可能な場合」との限定があるものの, 72時間を超えることが許されるのは, 監督機関に(合理的な)遅滞理由を説明できるような状況に限られる。] (2)データ主体に対する通知義務 (34(1)) 個人データ侵害がデータ主体の権利自由に対し高度のリスク(high risk)を生じさせる可能性が相当ある(likely)場合, 管理者は, 不当に遅滞することなく, 個人データ侵害をデータ主体に知らせなければならない。 (3) 通知義務違反に対する制裁 (58,83) 違反は, 監督機関による是正命令, 制裁金(最大1千万ユーロまたは全世界の年間売上高の2%)等の対象となり得る(83(4)(a))。Q2:個人データ侵害の内容は?
A2:GDPR上の「個人データ侵害」(personal data breach)の定義は, 送信/保存/その他処理される個人データの事故による(accidental)または違法な(unlawful)破壊(destruction)/喪失(loss)/改変・改ざん(alteration)/または無権限(unauthorised)開示・アクセスを生じさせるおそれがある(leading to)セキュリティー侵害(breach of security)です(4(12)。 そして,上記各用語はガイドライン上以下の意味を有するとされています(p7~)。 (a)「破壊」(destruction):データがもはや存在しないか, 管理者が利用できる状態では存在していないこと。 (b)「紛失」(loss):データはまだ存在する[どこかにはある]が, 管理者がそれに対するコントロールまたはアクセスを失い, または, 保有しなくなったこと。(例)データを記録した媒体の紛失または盗難, ランサムウェアによるデータ暗号化, 暗号化データの復号キー紛失。 (c)「無権限の」(unauthorised)または「違法な」(unlawful):データを受領しまたはアクセスする権限を有しない者による開示・アクセス, その他GDPRに違反する開示等。 【個人データ侵害のタイプとその例】(ガイドラインp7~) (a)秘密性侵害(Confidentiality breach): データが開示・漏えいまたはアクセスされたこと。 (b)可用性侵害(Availability breach): データがアクセス不能となりまたは破壊(destruction)されたこと。 (c)完全性侵害(Integrity breach): データが改ざん・変更されたこと。 【可用性侵害の例】データ消去/暗号化データの復号キー紛失/バックアップコピーからのデータ回復不能/停電/DoS攻撃(Denial of Service attack)によるデータ利用不能Q3:一時的なデータ喪失(利用不能)も個人データ侵害?
A3:ガイドラインでは以下の通り説明されています。 一時的データ喪失(利用不能)による可用性侵害と通知義務の有無は, これは, リスクの大小によりケースバイケースである。患者データの喪失は一時的でもリスク大で通知要。一方, ニューズレターの一時的配信不能は通常はリスク小で通知不要。 一時的喪失であっても, 適時に(timely)回復(32(1)(c))不能な場合は, リスクが低くても「個人データ侵害」には該当し侵害の記録(文書化)義務(33(5))は発生する。 なお, ランサムウェアの被害にあったがデータをバックアップ・コピーから復元可能な場合, 可用性侵害には該当しない。しかし, ネットワーク侵入の証拠があるから秘密性(confidentiality)侵害には該当し通知を要する。Q4: 個人データ侵害により予想される影響(被害)は?
A4: ガイドラインでは以下の通り説明されています。 物理的, 経済的または精神的損害が予想される。 具体的には, 個人データに対するコントロール喪失, データ主体の権利制限, 差別, なりすまし・不正行為, 名誉・信用棄損等が挙げられる(p9~)。 人種/民族/政治的意見/宗教/思想信条/労働組合加入/遺伝/健康/性生活/犯罪/セキュリティー等に関する情報が漏えい等した場合, これらに関する被害発生が予想される。Q5: 通知期限(72時間内)の起算点である侵害「認識」時点とは?
A5: ガイドラインでは以下の通り説明されています。 【原則】管理者が, 個人データに対するリスクを生じさせる事故が発生したことについて合理的な程度の確信を抱いた(has a reasonable degree of certainty)時点で侵害を認識したとみなされる(p10~)。 【合理的な程度の確信を抱いたと認められる時点の例】 (a)管理者は暗号化されていないデータが記録されたCDを紛失。この場合, 無権限者のアクセスの有無は不明であっても, CD紛失認識時点で侵害発生について合理的な程度の確信を抱いたと認められる。従って, その時点で個人データ侵害を認識したとみなされる。 (b)管理者に対し, 第三者が管理者の顧客の個人データを受け取ったことを通知し, その証拠も示した。その時点で個人データ侵害を認識したとみなされる。 (c)管理者が, ネットワークへの侵入の可能性を検知し, 調査の結果侵入を確認。その時点で個人データ侵害を認識したとみなされる。 (d)ハッカーがシステムにハッキング後身代金を要求。その時点で個人データ侵害を認識したとみなされる。 【初動調査段階での侵害認識】侵害の疑いがあっても, 実際に侵害があったか否かの初動調査の段階では, 通常, 未だ「認識」したとものとはみなされない(p12~)。Q6: 管理者がデータ処理を第三者(処理者)に委託した場合処理者は?
A6: ガイドラインでは以下の通り説明されています。 管理者がデータ処理を第三者(処理者)に委託した場合, 処理者は, 管理者のGDPR上の義務(侵害通知義務を含む)履行に協力する義務を負う(28(3))。 また, 処理者側で個人データ侵害を認識した場合には, 不当に遅滞することなく(without undue delay)管理者に通知しなければならない(33(2))。 管理者が個人データの処理を委託した場合, 処理者が侵害を認識した時点で管理者も認識したとみなされる(p13~)。 従って, 処理者から管理者への通知も, 管理者から監督機関への通知と同様, 第1報を直ちに通知し(immediate notification), その後追加情報判明の都度段階的に(in phases)報告することが推奨される。 管理者は, 契約に基づいて, 管理者の責任において, 処理者に通知を代行させることができる。 [個人データの処理委託先(処理者)において漏えい等が発生した場合, 管理者は, 一旦, 委託先から通知を受けた上でその事実を確認し監督機関に通知することになる。従って, 委託先(特にEU域外の場合)からの通知が72時間より十分前になされるよう予め契約と手続的・システム的な手当てをしておかなければならない。]Q7: 管監督機関への通知内容・方法は?
A7: ガイドラインでは以下の通り説明されています。 (1) 監督機関に通知すべき情報 監督機関への通知には, 最低限, 以下の事項を含めなければならない(33(3))。 (a)個人データ侵害の内容。可能な場合, 影響を受ける(漏えい等した)データ主体のカテゴリーとその概数(approximate number)/個人データのカテゴリーとその概数を含めること。 (b)データ保護監督者(DPO), または, DPO以外に追加情報を提供できる者がいる場合はその者の氏名および連絡方法。 (c)個人データ侵害の結果発生が予想される被害(likely consequences)。 (d)個人データ侵害に対処するため管理者が講じた措置または講じる予定の措置。可能なら, 個人データ侵害の結果生じるおそれある被害の軽減策を含めること。 【データ主体のカテゴリーの例】(p14~) 子供その他の弱者(vulnerable groups)/障がい者/従業員/顧客等 【個人データのカテゴリーの例】 健康データ/教育記録/社会保障情報/経済状況/口座番号/パスポート番号等 【データ主体および個人データの「概数」】 正確な人数または件数等が分からない場合概数で可。 【予想される被害が不明な場合】 段階的通知(notification in phases)(後述)で可。 【処理者の名称】侵害の原因が処理者側にある場合, 特に処理者が複数の管理者のために同種の個人データ処理をしている場合[例:クラウド・サービス], 監督機関に対する通知にその処理者の名称を記載することが有益。 (2) 段階的通知(Notification in phases)等 全ての情報を同時に提供できない場合, 情報は段階的に提供することができる(33(4))(p15~) 【段階的通知が必要な例】 サイバー攻撃があった場合, 侵害の完全把握にはフォレンジック(forensic)調査[ディジタルデータの調査・解析]が必要な場合が多い。 また, 多くの場合, 追加調査が必要であり, 管理者は, 遅延理由を説明すること(33(1))を条件として, 追加調査の結果判明した必要情報をその都度段階的に監督機関に提供することができる。 段階的通知を行う場合, 監督機関は, 管理者と, 追加情報の提出期限・方法を合意しなければならない。 状況によっては, 監督機関に対する通知よりもデータ主体に対する通知を優先・先行すべき場合がある。 【データ主体に対する通知が優先する例】 (a)なりすまし[第三者が本人のID・パスワードを盗用等して不正行為を行うこと]の危険性が差し迫っている場合 (b)特別カテゴリーの個人データがオンライン上で公開された場合 【追加調査でリスクがないことが判明した場合】 初動調査後の追加調査により, リスクがないことまたは解消したことが判明した場合, 管理者は監督機関にその旨追加報告すべきである。最初に通知したこと自体に対する制裁はない。(例)データを記録したCD紛失の通知後, CDが誤って所定外の場所に保管されただけだったことが判明した場合 (3) 通知の遅延が許される場合 監督機関への通知が72時間を超えてなされる場合, 通知にはその遅滞理由を含めなければならない(33(1))(p16~)。 (4) データ主体の被害が複数加盟国に及ぶ場合 侵害が複数加盟国のデータ主体に影響する場合, 「主任監督機関」(lead supervisory authority)(33(1), 55(1), 56(1),(6) 4(23))に通知しなければならない(p17~)。 主任監督機関とは, 管理者等が複数加盟国に拠点を有する場合, その「主たる拠点」(main establishment), すなわち, 統括機能(central administration)を有する拠点(但し他の拠点に個人データ処理の目的・手段の決定・実施権限がある場合は当該他の拠点)の所在加盟国の監督機関である(56(1), 4(16))。 従って, 侵害発生時に迅速に通知するためには, 自己の主任監督機関を事前に把握の上対応計画を策定しておくべきである。主任監督機関が不明な場合, 最低限, 侵害が発生した加盟国の監督機関に通知しなければならない。 主任監督機関の他, 被害が生じる可能性がある他の加盟国の国の監督機関にも侵害を通知することが推奨される。最低限, 主任監督機関に対する通知に当該他の加盟国を記載することが望ましい。 (5)監督機関への通知を要しない場合 個人の権利・自由に対するリスクが生じる可能性がない場合は通知を要しない(33(1)但書)。(p18~) [但し, 管理者はこのことに関し証明責任がある(5(2), 24)。] 【監督機関への通知を要しない例】 (a)暗号化された個人データが盗取された。しかし, 復号キーの安全性に問題が生じておらず, かつ, バックアップ・コピーから適時にデータ回復が可能な場合。 (b)パスワードがハッシュ化 [元データを一定の計算手順に従って不可逆的に他のデータ(数値)に置換]され, かつ, ハッシュ化キーの安全性に問題が生じていない場合。 但し, 事後的に, 復号キーの安全性に問題があること, 暗号化ソフトに脆弱性があること等が判明した場合は, その時点で通知が必要。暗号化ソフトの品質確認, 有効に機能する条件等について正確な理解が必要。 今回は以上です。 [1] [1]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。 (*) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)
|
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |