01 コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

今回は, 個人データ侵害通知ついて WP29が作成し2018年2月6日に最終版が確定したGuidelines on Personal data breach notification under Regulation 2016/679(以下「個人データ侵害通知ガイドライン」)の概要の後半を解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: データ主体に通知すべき場合・内容・方法は?

Q2: 通知の要否を決めるリスクの評価は？

Q3: 説明責任と記録の作成維持義務あり？

Q4: データ保護監督者(DPO)の役割は？

Q5: 他のEU法等に基づく通知義務もある？

Q6: 侵害対応計画の策定は必要？

Q7: 個人データ侵害想定事例と通知の要否は？

Q1: データ主体に通知すべき場合・内容・方法は?

A1: ガイドラインでは以下の通り説明されています。

(1)通知が必要な場合

個人データ侵害が個人の権利および自由に対して高度のリスクを生じさせる可能性がある場合である (34(1))。(p19～)

(2)データ主体に提供すべき情報

データ主体への通知は, 明確かつ平易な文言でデータ侵害の内容を記載し, かつ, 少なくとも, 以下の事項を含めなければならない(34(2))。

(a)データ保護監督者(DPO)またはDPO以外に追加情報を提供できる者がいる場合はその者の氏名および連絡方法

(b)個人データ侵害の結果発生が予想される被害。

(c)個人データ侵害に対処するため管理者が講じた措置または講じる予定の措置。

(d)データ主体に対する助言(例：パスワードのリセット)も提供すべき。

(3)データ主体に対する通知方法等

原則として, 各データ主体に個別に直接通知すべき。但し, 個別通知が過度の負担(disproportionate effort)となる場合, 公表, または, 公表と同等のどのデータ主体にも公平かつ有効な通知手段が許される(34(3)c)。(p21～)

侵害通知のみの専用通知(dedicated message)とし, ニューズレター等で他の情報[新製品の案内等]とともに通知してはならない。データ主体全員に周知されるよう複数の通知手段, 各データ主体の母国語の使用等も要検討。監督機関に助言を求めることも可。

【個別通知の例】電子メール, SMS等

【公表の例】著名サイトでのバナー表示・告知, 著名誌での広告等。報道発表だけでは不十分。

(4)データ主体への通知が不要な場合

以下のいずれかの場合, データ主体に対する通知は不要(34(3))。(p22～)

(a)事前に, 暗号化等, 適切なデータ保護措置が講じられている場合。

(b)侵害後に, 高度のリスクが現実化しないよう措置が講じられた場合

(c)データ主体への通知が過度の負担となる場合(例：侵害により被害者の連絡先情報を失った場合)。

page top

Q2: 通知の要否を決めるリスクの評価は？

A2: ガイドラインでは以下の通り説明されています。

(1)個人データ侵害通知の要件としてのリスク

監督機関に対する通知を要するのは, 個人データ侵害により「個人の権利または自由に対するリスクが生じる可能性がある場合」である(33(1)。その内, データ主体に対する通知を要するのはそのリスクが「高度な」(high)場合である(34(1))。

従って, 侵害により生ずると予想されるリスクの評価が必要である。(p22～)

(2)リスク評価の基本

侵害通知要否の判断基準としてのリスクは, 当該リスクの発生可能性(likelihood)と重大性(severity)に基づいて客観的に評価しなければならない(前文75,76)。

この侵害発生後のリスク評価は, 計画中の処理に対する事前の評価であるデータ保護影響評価(Data protection impact assessment)(DPIA)とは異なる。

後者(DPIA)は仮定に基づく潜在的リスクの抽象的評価であるが, 前者(侵害通知要否の判断基準としてのリスク)においては, 実際に発生した侵害の具体状況に基づいた評価が必要である。従って, 管理者は, 予め関係するデータ処理に関しDPIAを実施していた場合でも, 実際の侵害状況に基づいて, 改めて, 通知義務の有無判断のためのリスク評価をしなければならない。リスクが不明な場合は, 慎重を期して通知すべきである。

【リスク評価の例】ガイドライン附属書B参照。

【リスク評価手法の参考例】欧州連合(EU)のネットワーク・情報セキュリティー機関(ENISA)が公表しているリスク評価手法^[1]がある。

(3)リスク評価において考慮すべき事項

通知義務に関するリスク評価においては, 以下を考慮すべきである。

(a)侵害のタイプ(秘密性侵害, 可用性侵害, 完全性侵害)：

(b)個人データの内容・機微性(sensitivity)・量：(状況による機微性の変化)単なる氏名と住所でも, 養親の氏名・住所が実の親に開示される場合は機微性が高い。

単独では機微性がない個人データでも他の個人データを参照することにより機微性が高くなる場合がある。

単なる配達先のデータも, 休暇中の配達停止を要求した配達先のデータは, 犯罪者に対する関係で機微性が高い。

(c)個人識別(特定)の容易性：識別容易性は, 当該個人データ単独の他, 他のデータ(公開情報を含む)との照合による識別容易性の判断が必要である。

仮名化(pseudonymisation)(個人データを追加情報がなければ該当する個人のものであると判断できないよう加工すること)(4(5))により, 個人識別可能性を低減することができる。

(d)データ主体に与える影響(被害)の重大性：被害の重大性は, 以下のような要素により異なる。

・個人データの内容(例)特別カテゴリーの個人データ

・予想されるリスク内容(例)なりすまし, 不正行為, 身体傷害, 精神的苦痛, 名誉棄損

・漏洩データの受け手(例)悪意ある者か, 他の社員・納入業者等信頼のおける者か

・影響の及ぶ期間(例)永続性

(e)データ主体側の事情：データ主体の属性(子供等弱者か)等。

(f)予想される被害者数：

(g)管理者の属性： (例) 医療機関(特別なカテゴリーの個人データを処理)

page top

Q3: 説明責任と記録の作成維持義務あり？

A3: ガイドラインでは以下の通り説明されています。

管理者は, 個人データ侵害に関する事実, その結果および講じた措置を含め, 全ての個人データ侵害を文書化(document)しなければならない。当該文書は監督機関が管理者による通知義務の遵守を確認できるものでなければならない(33(5)) (p26～)。

侵害に関する文書化(記録作成・保存)は説明責任(5(2))の一環であり, 通知義務の有無に関係なく要求される。

【記録すべき項目の例】 侵害の原因／影響を受けた個人データ／侵害による影響(被害)／対応措置／侵害を通知しなかった場合その正当化理由／通知が遅延した理由／データ主体への通知・情報提供内容・証拠

page top

Q4: データ保護監督者(DPO)の役割は？

A1: ガイドラインでは以下の通り説明されています。

侵害通知におけるDPOの任務には, 監督機関との協力(39(1)d), ならびに, 監督機関およびデータ主体の連絡先として機能すること(39(1)d)が含まれる(p27～)。

page top

Q5: 他のEU法等に基づく通知義務もある？

A5: ガイドラインでは以下の通り説明されています。

GDPR以外にも以下のような義務を課すEUの法令等がある。一方で通知を要するセキュリティー事故等が他方でも通知の対象となる場合は, 両方の義務を履行しなければならない(p28～)。

(a)「域内市場における電子商取引の電子認証およびトラストサービスに関する規則(EU)910/2014」(eIDAS規則：eIDAS Regulation)^[2]

eIDAS規則(*)に定めるトラストサービス提供者は, トラストサービスまたは同サービスで保管する個人データに重大な影響を与えるセキュリティー侵害または完全性喪失を監督機関に通知しなければならない(19(2))。

(*) EU全域の電子署名の法的枠組みと, 電子的「トラストサービス」の範囲を定める規則

(b)「EUにおけるネットワークおよび情報システムの高度共通セキュリティー措置に関する指令(EU)2016/1148^[3]」(NIS指令：NIS Directive) (*)

(*) EUのサイバーセキュリティ関連法。社会経済に不可欠で情報通信技術に大きく依存する, エネルギー, 運輸, 水道, 銀行, デジタルインフラ分野の「主要サービス事業者」(Operators of Essential Services：OES)として各加盟国から特定された企業は, その提供するサービスの継続に著しい影響を及ぼす事故が発生した場合, 加盟国の管轄当局等に通知しなければならない(14, 16)。

(c)指令2009/136 / EC(市民権指令)および規則611/2013(侵害通知規則)

指令2002/58/EC37で定める「公衆向け電子通信サービス」(publicly available electronic communication services)の提供者は, 管轄機関に侵害を通知しなければならない。

page top

Q6: 侵害対応計画の策定は必要？

A1: ガイドラインでは以下の通り説明されています。

GDPR遵守および遵守の証明のため, 対応計画を策定し文書化しておくことが推奨される(p12～)。

【対応計画に規定すべき事項】侵害検知手段(例：異常データ処理検知ためのデータフロー, ログ・アナライザー等監視ツール)／侵害のリスク評価／被害最小化／監督機関またはデータ主体に対する通知義務の有無判断・内容・方法および情報提およびこれらに関する社内体制等

【処理者との契約】以下の事項を処理者(処理委託先)との間の契約で取決めておくべきである。

・侵害に関する情報が, 処理者および管理者等の対応責任者に確実に通知されるための体制。

・被害の評価および関係部門への連絡体制。

page top

Q7: 個人データ侵害想定事例と通知の要否は？

A7: ガイドラインでは以下の通り説明されています。(p31～)

【想定事例(i)】暗号化した個人データを記録したCDが盗まれた。

(監督機関への通知の要否) 不要

(データ主体への通知の要否) 不要

(備　　考) 暗号化アルゴリズムが最新で, データの元コピーが残っており, かつ, 暗号キーが安全な場合, 通知不要。但し, 暗号キーが事後的に安全でなくなった場合通知要。

【想定事例(ii)】サイバー攻撃によりサイトから顧客の個人データが盗取された。顧客居住国は一加盟国。

(監督機関への通知の要否)　顧客に被害が生じる可能性がある場合通知要。

(データ主体への通知の要否)　個人データの性質・内容, 被害の程度によっては通知要。

(備　　考) リスクが高度でない場合でも, 盗取データから顧客の政治的意見が推測できる場合等, 状況によっては通知が推奨される。

【想定事例(iii)】コールセンターが数分間停電。顧客が自身のデータにアクセス不能。

(監督機関への通知の要否)　不要

(データ主体への通知の要否)　不要

(備　　考)　不要だが, 侵害の文書化・記録義務(33(5))あり。

【想定事例(iv)】ランサムウェアによりデータ暗号化。バックアップ・コピーなくデータ復元不能。

(監督機関への通知の要否) 通知要。

(データ主体への通知の要否) 個人データの性質・内容, 個人データ利用可能性等によっては通知要。

(備　　考) バックアップ・コピーがありかつ遅滞なくデータ復元可能なら監督機関およびデータ主体とも通知不要。

【想定事例(v)】顧客が銀行に他人口座明細を受けとったと連絡。調査の結果, 事故発生および他の顧客の被害可能性を認識。

(監督機関への通知の要否) 通知要。

(データ主体への通知の要否) リスクが高度な顧客に通知要。

(備　　考) 追加調査で他の顧客の被害判明の場合監督機関に追加通知要。他の顧客にもリスクが高度なことが判明した時点で通知要。

【想定事例(vi)】オンライン市場サイトにサイバー攻撃。ユーザ名, パスワードおよび購入履歴がオンライン上で公開された。

(監督機関への通知の要否) 監督機関への通知要。被害が複数加盟国に及ぶ場合主任監督機関に通知。

(データ主体への通知の要否) 高度のリスクの可能性があるから, 通知要。

(備　　考) 管理者は被害アカウントのパスワード強制リセット等, リスク軽減策を実施すべき。

【想定事例(vii)】サイトホスティング会社(処理者)が, ユーザ認証プログラムのエラー発見。ユーザ同士で他のユーザアカウントの詳細にアクセス可能。

(監督機関への通知の要否) ホスティング会社は処理者として被害可能性がある利用企業(管理者)に通知要。利用企業は, その時点で侵害認識したことになり通知要。

(データ主体への通知の要否) 利用企業の個人客に高度のリスクが生じない場合は不要。

(備　　考) 他の法令(例：NIS指令)に基づく通知義務も遵守要。被害可能性がない利用企業についても侵害の文書化・記録義務あり(33(5))。セキュリティー措置違反(32)の可能性あり。

【想定事例(viii)】サイバー攻撃により病院の医療データが30時間利用不能。

(監督機関への通知の要否) 通知要。

(データ主体への通知の要否) 患者にとり高度のリスクあり。プライバシーの問題も。被害可能性がある患者に通知要。

【想定事例(ix)】5,000人の生徒の個人データ誤送信。メーリングリストの1,000人以上に送信。

(監督機関への通知の要否) 通知要。

(データ主体への通知の要否) 個人データの範囲・種類および結果の重大性によっては通知要。

【想定事例(x)】メールを「to:」/「cc:」欄の全員に送信。受信者全員が他の受信者のメールアドレス閲覧可能。

(監督機関への通知の要否) 多数人が影響を受ける場合, センシティブ・データが開示された場合等においては通知要。

(データ主体への通知の要否) 個人データの範囲・種類, 結果の重大性によっては通知要。

(備　　考)センシティブ・データが含まれておらず, かつ, 被害アドレス数が少ない場合には不要となる可能性もある。

今回は以上です。

page top

【筆者の最近の個人情報保護関連書籍】

NEW!!　「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24,

NEW!!　「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[4]

【注】

^[1] 【ENISA公表のリスク評価手法】　ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches

^[2] 【eIDAS規則】　Regulation (EU) 910/2014 on electronic identification and trust services for electronic transactions in the internal market)　(概要) ドキュサイン「eIDAS規則入門」

^[3] 【NIS指令】Directive (EU) 2016/1148 concerning measures for a high common level of security of network and information systems across the Union)　　(解説)　JETRO「EU 貿易管理制度電子商取引・サイバーセキュリティ・個人情報保護に関する規制詳細」p3～

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録