インシデント発生時の報告義務
GDPRでは、管理者または処理者は、取り扱う個人データについて、データセキュリティに関する義務を負うこととされています。そうしたデータセキュリティに関する義務として次の点が定められています。
図表4 データセキュリティに関する義務
義務 | 概要 | |
侵害発生前 | リスクに対して適切なセキュリティレベルを確保するための技術的・組織的措置の導入 |
|
侵害発生後 | データ侵害に関する通知 |
|
管理者または処理者は、平常時には、適切なセキュリティレベルを維持するためのセキュリティ対策の導入や運用が求められます。
またその一方で、漏えいや不正利用などのデータ侵害が発生した場合には、監督機関やデータ主体に対して通知を行わなければならないとされています。
特に監督機関への通知については、次の事項をその内容に含め、可能な場合には気づいてから72時間以内に行うと定められています。
- 侵害の性質、可能であれば影響を受けるデータ主体の類型や数
- データ保護責任者の名前・連絡先、または情報提供のための連絡先
- 侵害の結果、発生する可能性のある事態
- 影響の拡大を低減するための措置(適切な場合)を含め、データ侵害に対処するために講じられた措置または講じる準備がなされた措置
ひとたび一定規模の侵害が発生した場合には、72時間という時間枠はとても短いものになることが想定されます。侵害が発生した際に適切に通知を行うためには、それが発生する以前から、通知のための体制やルートなどを整備する必要があると考えられます。
実際のケースでは、データ侵害は外部の関係者から連絡を受けて察知される場合も少なくありません。侵害の察知にあたっては、組織内部における報告を促すとともに、組織の外部からも問い合わせを受け付けるための窓口を設けておくことが重要と考えられます。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 大場 敏行
- 国内大手製造業をはじめ、様々な業界、業種のクライアントに対して、個人情報保護、情報セキュリティに関するコンサルティング業務に従事。マイナンバー法導入にあたり、地方自治体向けに特定個人情報保護評価支援を提供。公認情報システム監査人(CISA)、 情報セキュリティスペシャリスト。