29 海外法務, コンプライアンス, 情報セキュリティ, 外国法

前回, 個人データの処理のセキュリティに関し解説しました。今回は, そのようなセキュリティをしていても個人データの漏えいが生じた場合の監督機関・本人への報告・通知, および, 個人データの処理を他に委託する場合に関するGDPRの規定を解説します。この二つの問題については, それぞれガイドラインが発表されているので後の回で解説しますが, 先ず, 今回のGDPRの条文内容の解説で概要を理解して下さい。

なお, 本稿において, ( )内の数字は条文番号であり, [ ]内の内容は筆者による補足・追記です。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 個人データが漏えいした場合の監督機関への報告は?

Q2: 個人データが漏えいした場合の本人への通知は?

Q3: 個人データを第三者に委託する場合の規定内容は?

Q1: 個人データが漏えいした場合の監督機関への報告は?

A1: GDPR上, 以下の通り監督機関に対する報告が義務付られています。

【解　説】

(1) 「個人データ侵害」(personal data breach)

GDPR上, 個人データの漏えい等を「個人データ侵害」(personal data breach)と呼んでいます。

「個人データ侵害」(personal data breach)とは, 個人データの事故による(accidental)または違法(unlawful)行為による, 破壊(destruction), 紛失・滅失(loss), 修正・改ざん(alteration), 無権限の(unauthorized)開示またはアクセスにつながる可能性のある(leading to)セキュリティー上の違反・侵害(breach)を意味します(4(12))。

(2) 監督機関への報告義務

(a) 管理者は, 個人データ侵害が発生した場合, 不当に遅滞することなく(without undue delay), 可能な場合侵害を認識した後(after having become aware of it) 72時間以内に管轄監督機関に通知しなければなりません。^[1]

但し, 個人の権利自由に対するリスクが生じる可能性が低い(unlikely)場合は通知しなくても構いません。

監督機関への通知が 72 時間を超えてなされる場合, 通知にはその遅滞理由を含めなければなりません(33(1))。

(b) 管理者が個人データの処理を第三者(「処理者」)に委託していた場合で, その処理者側で個人データ侵害が生じた場合, 処理者は, その個人データ侵害を認識した後, 不当に遅滞することなく [直接監督機関にではなく先ず] 管理者に通知しなければなりません(33(2))。

①個人データ侵害の内容(nature)(可能な場合は関係するデータ主体と個人データのそれぞれのカテゴリーと概数(approximate number)を含めること)。

②管理者がデータ保護監督者(Data Protection Officer：DPO)(一定の高リスクの処理を行う場合選任要：37(1))を選任している場合そのDPO, または, DPO以外に追加情報[より詳しい情報]を提供できる者がいる場合はその者(contact point)の氏名および連絡方法(contact details)

③予想される被害(likely consequences)

④被害の防止・軽減策(measures to mitigate its possible adverse effects)その他管理者が講じた対応措置または対応措置の提案

(d)管理者は, 全ての情報を同時に提供できない場合, 情報を段階的に(in phases)提供することができます(33(4))。

(e)管理者は, 事実関係, 侵害の影響, 対応措置その他侵害に関する全ての事項を文書化し保存なければならない。この文書は監督機関が上記義務の遵守状況を確認できるものでなければなりません(33(5))。

Q2: 個人データが漏えいした場合の本人への通知は?

A1: GDPR上, 以下の通り, 本人に対する通知が義務付られています。

【解　説】

(a)個人データ侵害が個人の権利自由に対して高度のリスク(high risk)を生じさせる可能性が相当程度ある(likely)場合, 管理者は, 不当に遅滞することなくデータ主体に対し, 個人データ侵害について通知しなければなりません(34(1))。

(b)データ主体に対する通知には, 以下の事項を含めなければなりません(34(2))。

①明確かつ平易な文言で記載した侵害内容

②管理者がデータ保護監督者を選任している場合そのDPO, または, DPO以外に追加情報より詳しい情報を提供できる者がいる場合はその者の氏名および連絡方法

③予想される被害

④被害の防止・軽減策その他管理者が講じた対応措置または対応措置の提案

(c)データ主体への通知は, 以下のいずれかの場合は, 行わなくても構いません(34(3)。

①管理者が, 予め暗号化(encryption)等の個人データの内容を第三者が解読できない(unintelligible)ようにする適切なデータ保護措置を講じていた場合

②管理者が, 事後的に高度のリスクが現実化しないよう(is no longer likely to materialize)措置を講じた場合

③データ主体への個別通知に不相当な努力(disproportionate effort)を要する場合。但し, この場合, 公表(または公表と同等の手段での情報提供)をしなければなりません。

(d)監督機関は, リスクの程度(likelihood)を考慮した上, 管理者に本人への通知を命令することができます(34(4)。

Q3: 個人データを第三者に委託する場合の規定内容は?

A3: GDPR上, 以下のような規定があります。

【解　説】

(1) 委託先(処理者)選定の条件

管理者は, GDPRの遵守について「十分な保証」(sufficient guarantees)をすることができる者(処理者)でなければ個人データの処理を委託してはなりません(28(1))。

(2) 再委託の制限

処理者は, 管理者の書面による事前承諾なく, 第三者に処理を再委託してはなりません。

処理者は, [再委託について]管理者から書面による包括的承諾(general written authorization)を得た場合であっても, 再委託先の追加・変更については, 事前に管理者に通知しかつこれを拒否する機会を与えなければなりません(28(2))。

(3) 委託の法的形式と内容

処理者による個人データの処理の内容および条件は, 書面(電子的形態を含む)による契約(またはEUもしくは加盟国の法令に基づく他の法律行為)で定めなければなりません(be governed by)。この契約等においては, 以下の事項を定めなければなりません(28(3),(9))。

(a)以下の委託の基本的内容

①処理の対象・期間

②処理の内容・目的

③個人データとデータ主体のカテゴリー

③管理者の権利および義務

(b)以下に定める処理者の義務

①管理者からの書面による指示にのみ基づいて個人データの処理(EU域外への移転を含む)を行うこと。

②処理に従事する従業員等が秘密保持に合意している(かまたは法律上当該義務を負うようにする)こと。

③処理のセキュリティーに関しGDPR上義務付けられている全ての措置(32)を講じること。

④処理者から第三者への再委託に関しては上記の事前承諾および後記の再委託契約の条件を遵守すること。

⑤管理者による以下のGDPR上の義務履行に関し, 管理者に協力すること。

・データ主体の権利行使への対応(12～22)

・処理のセキュリティー(32)

・個人データ侵害通知(33,34)

・データ保護影響評価(35)

・監督機関との事前協議(36) 。

⑥委託終了後, 全ての個人データおよびそのコピーを管理者の選択により消去または返却すること。

⑦上記義務を遵守していること証明するため, 管理者に必要情報を提供し, 管理者(または管理者が任命した監査人)による監査(audits)を受入れこれに協力すること。

⑧管理者からの指示がGDPRまたは EU もしくは加盟国の法令に違反すると判断した場合, 直ちに管理者にその旨通知すること。

(4) 再委託の法的形式と内容

再委託の法的形式と内容は, 管理者と処理者間の委託契約等と同様としなければなりません(28(4))。

(5) 「十分な保証」の証明

管理者が個人データの処理を委託しようとする者が, GDPRの遵守について「十分な保証」をすることができる者であるか否かについては, 処理者による行動規範(40)／データ保護認証・シールおよびマーク認定制度(42)の遵守を、「十分な保証」を証明する一要素として考慮することができます(28(5))。

(6) 委託(再委託)の標準契約条項

欧州委員会および監督機関は, 個人データの処理の委託または再委託の標準契約条項(SCC)を定めることができます(28(7),(8))。[2021年6月4日にこのGDPR第28条に基づく個人データの処理委託用のSCCがこちらで公表されています(なお、個人データのEU域外への移転用SCCとは別のSCCです)]

(7) 無断処理の禁止

処理者, および, 管理者または処理者の下で業務を行う者であって個人データへのアクセス権限を有する者は, 管理者からの指示によらず当該個人データを処理してはならないと定められています。但し, EUまたは加盟国の法令により別段の定めがある場合を除きます(以上29)。

なお, 以上の処理者の義務は, 管理者が個人データの処理をEU域外の企業(例えば日本の親会社)に委託する場合でも, 免除規定はないので, 当然適用されます。

この場合, 上記(6)のGDPR第28条に基づく処理委託用のSCCと同日に, 個人データのEU域外への移転用SCCも欧州委員会から公表されており, この域外移転用SCCは, 前者のSCCの内容もカバーできるようになっているので, この域外移転用SCC を使うこともできます(詳細はこちらの記事参照)

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

NEW!!　「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】

^[1] 【GDPR上の管理者等の義務に関する期限(原則)】　(a) データ主体の権利行使に対する対応期限：要求を受けた時から1か月以内(12(3),(4)), 所定の場合, 最大2か月延長可, (b) 個人データを間接取得した場合のデータ主体への情報提供期限：取得後1か月以内(14(3)), (c)データ侵害通知の監督機関への通知期限：認識後72時間以内(33(1))

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録