編集部からのお知らせ
新着の記事まとめ「Emotet」動向
対応を迫られるGDPR

「同意」「データ保護責任者」「事故発生時の報告義務」とは何か--対応を迫られるGDPR(3) - (page 3)

大場 敏行 (デロイト トーマツ サイバーセキュリティ先端研究所)

2017-08-03 07:00

インシデント発生時の報告義務

 GDPRでは、管理者または処理者は、取り扱う個人データについて、データセキュリティに関する義務を負うこととされています。そうしたデータセキュリティに関する義務として次の点が定められています。

図表4 データセキュリティに関する義務

義務 概要
侵害発生前 リスクに対して適切なセキュリティレベルを確保するための技術的・組織的措置の導入
  • 仮名化、暗号化、システム復元力の確保などの措置の実施、およびこれらの措置の定期的な検査
侵害発生後 データ侵害に関する通知
  • 不当な遅滞なく、可能な場合には侵害に気づいてから72時間以内に監督機関へ通知する義務
  • その侵害がデータ主体の権利や自由に対して高いリスクを生じさせる可能性がある場合、不当な遅滞なく、データ主体にその旨を通知する義務(処理者の場合は管理者へ通知する義務)

 管理者または処理者は、平常時には、適切なセキュリティレベルを維持するためのセキュリティ対策の導入や運用が求められます。

 またその一方で、漏えいや不正利用などのデータ侵害が発生した場合には、監督機関やデータ主体に対して通知を行わなければならないとされています。

 特に監督機関への通知については、次の事項をその内容に含め、可能な場合には気づいてから72時間以内に行うと定められています。

  • 侵害の性質、可能であれば影響を受けるデータ主体の類型や数
  • データ保護責任者の名前・連絡先、または情報提供のための連絡先
  • 侵害の結果、発生する可能性のある事態
  • 影響の拡大を低減するための措置(適切な場合)を含め、データ侵害に対処するために講じられた措置または講じる準備がなされた措置

 ひとたび一定規模の侵害が発生した場合には、72時間という時間枠はとても短いものになることが想定されます。侵害が発生した際に適切に通知を行うためには、それが発生する以前から、通知のための体制やルートなどを整備する必要があると考えられます。

 実際のケースでは、データ侵害は外部の関係者から連絡を受けて察知される場合も少なくありません。侵害の察知にあたっては、組織内部における報告を促すとともに、組織の外部からも問い合わせを受け付けるための窓口を設けておくことが重要と考えられます。

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 大場 敏行

国内大手製造業をはじめ、様々な業界、業種のクライアントに対して、個人情報保護、情報セキュリティに関するコンサルティング業務に従事。マイナンバー法導入にあたり、地方自治体向けに特定個人情報保護評価支援を提供。公認情報システム監査人(CISA)、 情報セキュリティスペシャリスト。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]