/ Ikuko Komachiya

EUデータ保護規則(GDPR)-データ侵害の監督機関への通知とデータ主体への連絡(Data Breach Notification & Communication)

不正アクセスやデータの漏えいなどのデータ侵害があった場合、管理者は遅滞なく監督機関に通知する義務があります。データ侵害が個人の権利や自由に高い危険を及ぼすおそれがある場合には、管理者は遅滞なくデータ主体にデータ侵害を連絡する義務があります。

個人データ侵害の通知・連絡義務

EU指令では、個人データ侵害を監督機関に通知したり、データ主体に連絡したりする一般的な報告義務は管理者に課せられていませんでした。もっとも、電子情報プライバシー指令では、管理者は個人データ侵害について報告義務を負っていましたし、構成国によっては、法令で管理者に個人データ侵害の報告義務を課していた国もあります。
EUデータ保護規則は、分野や構成国によってまちまちであった報告義務を一般的な義務として統一したわけです。

こうした報告義務を管理者に課すことによって、監督機関は迅速に個人データ侵害についてその権限を行使することができます。一方、データ主体も権利や自由への影響を軽減する何らかの手段を講じることができます。たとえばクレジットカードの情報が漏えいしたならば、クレジットカードの使用停止をカード会社に連絡したり、パスワード情報に不正アクセスがあった場合にはパスワードの変更をするなどです。もっとも、管理者の側から見れば義務の負担が増えたことになります。

以下、具体的に義務の内容を見ていきましょう。

データ侵害の通知義務

個人データ侵害とは

EUデータ保護規則は、個人データ侵害があった場合に、管理者に監督機関に対する通知義務を負わせています。
さて、「個人データ侵害」とは何でしょうか。規則第4条第12号に定義が書かれています。

(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

すなわち、「個人データ侵害」とは、送信、保管またはそれ以外の方法で処理された個人データに対する偶発的もしくは違法な破壊、消失、改変、権限のない開示またはアクセスを引き起こす安全性の侵害をいいます。「偶発的」とあるので、通常の注意、予見によっては回避できなかった個人データ侵害の場合であっても、監督機関に対する通知義務が発生すると考えられます。また、条文上限定がありませんので、侵害は故意・過失を問わないと考えられます。

監督機関に対する通知義務

この個人データ侵害があった場合、管理者は、監督機関に対し通知義務があります。

第33条第1項は次のように定めています。

Article 33  Notification of a personal data breach to the supervisory authority
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

第33条 個人データ侵害の監督機関に対する通知
1 個人データ侵害があった場合、管理者は不当に遅滞することなく、可能であれば、それを認識した後72時間以内に、第55条に従って権限のある監督機関に通知しなければならない。ただし、個人データ侵害が自然人の権利および自由に危険を生じさせるおそれがない場合は、この限りではない。監督機関に対する通知が72時間以内に行われない場合、遅滞の理由を付さなければならない。

つまり管理者は、原則として発生した個人データ侵害を知った後、72時間以内に監督機関に通知する義務があり、この時間内に通知ができなかった場合には、遅滞の理由を通知しなければなりません。
例外的に、「個人データ侵害が自然人の権利および自由に危険を生じさせるおそれがない場合」には通知義務を免れます。しかし、どのような事例が「個人データ侵害が自然人の権利および自由に危険を生じさせるおそれがない場合」に該当するのかは、条文からは必ずしも明らかではありませんので、例外に該当する場合は慎重に見極める必要があります。例外はほとんどないと考えたほうが良いとする見解もあります。

72時間という通知期限を定めているのは、個人データ侵害は、場合によってはデータ主体の権利や自由に多大な影響を及ぼしますので、迅速な対応が迫られるからです。

通知する事項

監督機関の通知には、以下の情報を含める必要があります(第33条第3項)。ただし、通知は侵害を認識した後72時間以内という短い期限が設定されていますので、通知までに含めるべき情報を整理することができない場合もあり得ます。そうした場合には、不当に遅滞することなく、監督機関に段階的に情報を提供することができます(第33条第4項)。

  • (a)個人データ侵害の性質。これには、可能であれば当該データ主体の種類および概数のほか、当該個人データの記録の種類および概数が含まれます。
  • (b)データ保護担当者の氏名および連絡先詳細、またはさらなる情報を得ることができるその他の連絡先
  • (c)個人データ侵害から生じ得る結果
  • (d)個人データ侵害に対応する管理者が講じるまたは講じようとしている措置(適切な場合には、有害な影響を軽減する措置を含む)

文書による記録化

個人データ侵害については、侵害に関連する事実、侵害の影響、救済行為などを文書に記録しておかねばなりません(第33条第5項)。

処理者の通知義務

また、処理者によって個人データが処理されている場合には、管理者が個人データ侵害を知り得ない場合があります。こうしたことが起きないように、規則は、処理者は、個人データ侵害を認識した場合に、遅滞なく管理者に通知する義務を負わせています(第33条第2項)。

データ主体に対する連絡

データ主体に対する連絡とは

それでは、個人データ侵害によって最も影響を受ける本人であるデータ主体に対しては、管理者はどのように対応すべきなのでしょうか。
EUデータ保護規則第34条第1項が次のように定めています。

Article 34  Communication of a personal data breach to the data subject
1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

第34条 個人データ侵害のデータ主体に対する連絡
1 個人データ侵害が自然人の権利及び自由に高い危険を生じさせるおそれがある場合、管理者は、不当に遅延することなくデータ主体に個人データ侵害を連絡しなければならない。

原則はデータ主体に対する連絡ですが、以下のいずれかの条件を満たす場合には、例外的にデータ主体に連絡をしなくてもかまいません(第34条第3項)。

  • (a) 管理者が、適切な技術的および組織的保護措置を実施しており、それらの措置が、個人データ侵害によって影響を受ける個人データに適用されていた場合。特に暗号化のように、個人データへのアクセスを認められていない者には理解ができないようにする措置。
  • (b) 管理者が、第1項にいうデータ主体の権利および自由に対する高い危険が拡大するおそれがないように確保する措置を続けて講じている場合
  • (c) 連絡が過度の努力を含むものである場合。そうした場合には、代わりに同等に効果的な方法でデータ主体に伝える公の連絡または類似の手段がなければならない。

管理者がデータ主体に連絡をしていない場合に、監督機関は、高い危険を生じさせる個人データ侵害の可能性を考慮し、管理者に通知をするよう求めるか、または上記の例外に該当することを判断することができます(第34条第4項)。

連絡する事項

データ主体に連絡する事項は、少なくとも以下の情報を含め、明確で分かりやすい言葉で記載しなければなりません(第34条第2項)。

  • データ保護担当者の氏名および連絡先詳細、またはさらなる情報を得ることができるその他の連絡先
  • 個人データ侵害から生じ得る結果
  • 個人データ侵害に対応する管理者が講じるまたは講じようとしている措置(適切な場合には、有害な影響を軽減する措置を含む)

個人データ侵害の通知・連絡義務に違反した場合

データ主体に対する連絡をする義務があるのに、管理者がこれを怠った場合には、監督機関は、管理者に対し是正をさせる権限を持っています(第58条第2項(e))。

管理者が、個人データ侵害の監督機関に対する通知義務またはデータ主体に対する連絡義務に違反した場合、10,000,000ユーロを上限とする過料を課せられる可能性があります。企業の場合は、これと全世界の前年の総売上高の2%を比較して、いずれか高い方を上限とする過料となります(第83条第4項(a))。過料については、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済”で詳しく書いています。

まとめ

個人データ侵害があった場合に、管理者に報告義務が課せられたことから、企業は個人データ侵害があった場合にスムーズに報告ができるよう準備しておく必要があります。個人データ侵害があった場合の企業内の報告・連絡体制を整備し、従業員に個人データ侵害があった場合の対応に関し教育を行い、監督機関に対する通知の書式やデータ主体に対する連絡の書式などをそろえておくと良いでしょう。

 

Ikuko Komachiya
弁護士(第二東京弁護士会所属・弁護士・NY州弁護士) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 法律事務所Legal i プラスを2021年設立 Information Law, Internet Law, Intellectual Property Lawなど、iから始まる法律を中心に業務を行っています。 このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。