GDPRが求めるインシデント報告体制整備

「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第3回 - インシデント報告に関する、GDPRの要求事項を満たすためにすべきことについて解説する。

インシデント報告に関する、GDPRの要求事項を満たすためにすべきことについて解説する。

GDPRが求めるインシデント報告

GDPRでは、規制対象となる個人データの取扱いにおいて漏えいなどのインシデントが発生した場合、原則として72時間以内に監督当局への報告が要求される。報告すべき事項なども詳細に指定されているため、既に一般的なセキュリティインシデントへの対応ルールや具体的な報告手順を定めている事業者であっても、GDPR対象となるデータのインシデントについて、現在の手順で法令要求事項を満たせるかどうかを検証し、必要な見直しを行わなければならないだろう。
インシデント報告に関するGDPRの要求事項を満たすためには、インシデントを検知した場合に、それが欧州の規制当局へ報告すべきものかどうかを管理部署で速やかに判断できることが重要である。企業規模が大きくなると、インシデントの発生したシステムを特定できていても、その中にどのような個人データがどの程度含まれているか、といった詳細情報を確認するのに時間を要するケースが多い。
限られた時間内で速やかに報告を行うためには、管理部署が個人データの取扱い状況を一元的に把握し、システムオーナーやデータオーナーをすぐに特定できるようなデータガバナンス体制の構築が求められる。

GDPR対応のための判断基準を周知

また、どのようなケースで規制当局への報告を行う必要があるのかという判断基準も、GDPR固有の要件としてあらかじめ明確化し周知しておくことが必要だ。
また、報告に必要となる情報収集は誰が行うのか、誰が責任を持って当局への報告を行うのか、報告すべき当局の窓口はどこか、といった体制や手順の詳細についても事前に定めておくことが重要である。欧州当局によってはウェブフォームへの入力で報告を可能としているケースもある。実際にどのような手段で報告を行うのかという点についてもあらかじめ確認しておいた方が良いだろう。
さらに、インシデント対応全般に言えることだが、机上でルールを策定して周知するだけでなく、実際に模擬訓練などを行って、現場の課題を定期的に特定・解消しておくと良い。

個人データ提供者への通知

インシデントにより個人データの提供者である本人に高いリスクを生じさせる恐れがある場合には、その本人への通知も必要となる。また、GDPRでは、そのインシデントに関する記録を作成・保持することも求めている。欧州に限らず、世界各国の規制が日本の事業者にも及ぶ現状を考えれば、個人データの取扱いに応じて、インシデント発生時にどのような対応が必要となるかを、いま一度整理しておいた方が良いだろう。

GDPRにおけるインシデント発生時の報告義務

規制当局への報告に含めるべき主な事項
(第33条)
データ主体への説明
(第34条)
インシデントの概要 インシデントの概要について平易明瞭な表現での説明が必要
影響を受けるデータ主体の種類
影響を受けるデータ主体の人数
影響を受ける個人データの種類
影響を受ける個人データの件数
データ保護オフィサーの氏名及び詳細連絡先
またはより詳しい情報を提供する連絡先
同左
インシデントにより生じうる影響 同左
実施中または計画中の対応策
(悪影響を軽減するための措置を含む)
同左

執筆者

KPMGコンサルティング
パートナー 大洞 健治郎

日刊工業新聞 2018年10月26日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

ポストGDPR~グローバルプライバシーコンプライアンスの時代へ

お問合せ