最新インシデント事例から読み解くGDPR対応:72時間ルールとは?

2018-08-08

はじめに

2018年5月にGDPRが施行されました。現時点で日本企業におけるGDPR対応はまさに進行中であり、これから着手するという企業も多いように見受けられます。今後、本コラムを通じて、GDPR施行後に明らかになった実務上のポイントについて、GDPRをめぐるホットトピックや頻繁に頂戴するご質問も採り上げながら解説していきます。

個人データの第三者への委託とそのリスク

GDPR施行後に、欧州のクラウドサービス会社で個人データが漏えいするインシデントが発生しました。個人データを直接管理しているクラウドサービス会社に留まらず、業務を委託している会社もGDPRの72時間ルールに則った対応を実施しなければならない可能性が高く、対応に追われています。

72時間ルールの届け出義務の対象(委託先/委託元)

上記の状況を一般化した図を以下に示します【図表1】。

【図表1】個人データ管理の委託先/委託元関係図

GDPRの観点では、(会社A)は個人データを管理する委託先となり、(会社B)は個人データの管理を委託する委託元となります。このビジネススキームは、決済代行や予約代行、SaaSといったクラウドサービスを提供し、そのサービスを利用するケースで多く見受けられます。

GDPRインシデントが発生した場合、委託元(会社B)はGDPRに定められている監督機関への72時間以内の届け出義務を負います。また委託先(会社A)も、主体的に個人データを取り扱っている場合や業界標準としてプラットフォームを運営している場合には、72時間の届け出義務を負う可能性があります。委託元は委託契約の内容を見直し、委託先にGDPR要求事項を遵守させるための覚書(個人データの取り扱いの委託に関する覚書)を締結する必要があります【図表2】。

【図表2】インシデント発生時の委託先/委託元 72時間適用

【図表3】データ侵害の種類と判断基準

監督機関への通知

データ侵害を検知・発見した場合、データ保護責任者(DPO)は、個人データ侵害を認識してから72時間以内にGDPRで定められている監督機関に、侵害されたデータの概要や量、侵害から考えられる影響などを通知しなければなりません。

【図表4】個人データ侵害時のフロー

データ侵害が発生した場合の報告先監督機関は、データ侵害時の状況と「主たる拠点」に応じて決定されます。EU域内に主たる拠点がある場合は登録済の一つの監督機関への通知だけで済む場合もありますが、拠点がない場合は漏れた情報に関係するすべての国の監督機関に通知する必要があります。報告書に記載する言語も監督当局によっては、英語ではなく、その国の言語でなければ受け付けない場合もあります。

A:EU域内に拠点が「ある」会社
主たる拠点のある国の監督機関(リードオーソリティ)へ登録することで、その国の監督機関に通知するだけでよい(33条、55条)
B:EU域内に拠点が「ない」会社
データ侵害を受けた情報の中にどの国の人が含まれているのかを調査し、個人が属する国の組織全ての監督機関に通知しなければならない(56条)

72時間の起算時点

通知が義務付けられている72時間という制限時間の起算時点も重要です。

72時間の起算は、EU域内に在住している個人のデータ侵害を「認識した」ときから始まります。現時点では、一律に起算時点が決められているわけではなく、その時点は状況に応じて報告する対象者の判断で決定することができます。

最初の事案でいうと、日本のサービス会社がクラウドサービス会社から「データ侵害が発生した」連絡を受けた時点を起算時点とし、いち早く監督機関に通知するということを選択することもできます。もしくは委託元が「サイバー攻撃を受けたシステム、データ侵害のあった個人データの国籍や種類や内容が判明し、インシデント対策会議等でDPOが「データ侵害が発生した」と決定した時点とすることも可能です。これは委託先でも同様です。

72時間対応を円滑に進めるためのアクション:GDPR対応/実施訓練

72時間という短い時間の中でスムーズに処理を進めるためには、調査や報告のための体制構築や各担当者の役割、必要なドキュメントなどを事前に決めておく必要があります。これらが整備されていることが、速やかな報告の前提条件となります。GDPR対応に関する詳細は、EU一般データ保護規則(GDPR)への対応支援ページ内の「GDPR対応をどのように進めればよいのか」をご確認ください。

GDPRに対応する準備をした上で、侵害発生を想定した訓練を事前に実施する必要があります。

今回のコラムでは、実際に発生したインシデントを例に挙げ、GDPRの事前準備の重要性や72時間対応について解説しました。次回は、GDPRで最も関心の高い「制裁金」について解説します。

松浦 大
PwCコンサルティング合同会社
マネージャー

ITセキュリティ企業やシステムインテグレーターのセキュリティセールスリーダーなど、セキュリティ業界で約15年の業務経験を持ち、サイバーセキュリティ対策に係るアドバイスはもとより、近時では、EU一般データ保護規則をはじめとする各国のプライバシーレギュレーション対応支援のサービスを提供している。

プロフィール

※ 法人名、役職、コラムの内容などは掲載当時のものです。

最新のサイバーセキュリティ コラム・対談


関連情報

Contact us

Follow us