EUデータ保護規則(GDPR)-データ侵害の監督機関への通知とデータ主体への連絡(Data Breach Notification & Communication)

不正アクセスやデータの漏えいなどのデータ侵害があった場合、管理者は遅滞なく監督機関に通知する義務があります。データ侵害が個人の権利や自由に高い危険を及ぼすおそれがある場合には、管理者は遅滞なくデータ主体にデータ侵害を連絡する義務があります。

個人データ侵害の通知・連絡義務

EU指令では、個人データ侵害を監督機関に通知したり、データ主体に連絡したりする一般的な報告義務は管理者に課せられていませんでした。もっとも、電子情報プライバシー指令では、管理者は個人データ侵害について報告義務を負っていましたし、構成国によっては、法令で管理者に個人データ侵害の報告義務を課していた国もあります。
EUデータ保護規則は、分野や構成国によってまちまちであった報告義務を一般的な義務として統一したわけです。

こうした報告義務を管理者に課すことによって、監督機関は迅速に個人データ侵害についてその権限を行使することができます。一方、データ主体も権利や自由への影響を軽減する何らかの手段を講じることができます。たとえばクレジットカードの情報が漏えいしたならば、クレジットカードの使用停止をカード会社に連絡したり、パスワード情報に不正アクセスがあった場合にはパスワードの変更をするなどです。もっとも、管理者の側から見れば義務の負担が増えたことになります。

続きを読む →