Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【GDPR実践的詳解~こんな時どうする?(全3回)】

第3回:個人データ侵害通知に関するガイドラインの概要

バックナンバー

2017/12/22

EU加盟各国のデータ保護監督機関の代表者などで構成する「29条データ保護作業部会」(以下「作業部会」)は、2017年10月3日、データ侵害通知に関するガイドラインのドラフト (以下「ガイドライン」)を公表し、パブリックコメントの募集を開始しました。EU一般データ保護規則 (以下、「GDPR」) は、管理者が処理する個人データが侵害され、個人の権利などにリスクを及ぼす可能性がある場合、管理者は遅滞なく監督機関に通知すべきこと(第33条)、高いリスクを及ぼす可能性が高い場合、管理者は影響を受ける個人にも通知すべきこと(第34条)を規定します。ガイドラインはこれらの通知義務に関する解釈運用の指針を示すものです。

このガイドラインで示された解釈・運用方針のうち、最も重要なポイントは以下のとおりです。

  • 通知制度の意義は、監督機関が管理者に対して、データ主体への通知の要否・内容を助言すること、データ主体に対して、予想される影響と緩和策を知らせることである。
  • データ侵害には、可用性の侵害、完全性の侵害、秘匿性の侵害の3類型がある。
  • 「セキュリティ事故が発生し、それが個人データ侵害をもたらすことについて合理的な程度に確信した時点」で管理者は侵害を知ったことになる。
  • 処理者が侵害があったことを知った時点で、管理者も知ったことになる。
  • 監督機関へのデータ侵害の通知は、処理者が管理者に代わって行うこともできる。
  • データ主体への侵害通知は、電子メール、SMS、郵便など、個人に直接届く連絡方法で行うべきである。
  • 管理者・処理者は、侵害の検知、通知の要否の判断、リスク評価、影響緩和策の実施などを確実に行えるよう、組織内のルール・手続を確立すべきである。
  • 監督機関への通知は段階的でよい。迅速な第一報を行うべきである。
  • 管理者は、通知を要しないと判断した場合、侵害の内容、判断の理由について記録を残す義務がある。

1.個人データの侵害とは

Guidelines on Personal data breach notification under Regulation
https://www.ppc.go.jp/files/pdf/tsuuchi_guideline.pdf

出典:個人情報保護委員会

「個人データ侵害」は、GDPR第4条第12項で次のように定義されています。

"a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed"
(転送、保存、その他の処理を受けている個人データに関する偶発的又は違法な破壊、紛失、変更、不正な開示又はアクセスに至るセキュリティの侵害)

breachという語を一言で適切な日本語に訳出するのはむずかしいのですが、GDPR本文の書きぶり及びガイドラインの内容から推察すると、
(1)違法な外力によりセキュリティが破られる状況
(2)システムの不具合又は業務上のミスによりセキュリティが破綻する状況
の両方を想定していると考えられます。

ガイドラインは、データ侵害には次の3つの類型があるとします。

可用性の侵害
(availability breach)
違法な又は偶発的なデータアクセスの喪失又は破壊。
データが利用できなくなること。
完全性の侵害
(integrity breach)
違法な又は偶発的な変更。
データが書き換えられること。
秘匿性の侵害
(confidentiality breach)
違法な又は偶発的な変更。
データが覗かれること、漏洩すること。

個人データの侵害というと、典型的なケースとして、秘匿すべき重要な情報(例えばアカウント情報、カード情報など)の漏洩、盗取を想定しがちですが、本来利用できるべきデータが利用できなくなる「可用性の侵害」、データが変更・改ざんされる「完全性の侵害」も、GDPRが通知義務の適用として想定するデータ侵害です。例えば、医療機関で重要な医療データが一時的であっても利用できなくなった場合、患者の生命・健康にリスクを及ぼす可能性があるので、監督機関に通知しなければなりません。

2.監督機関への通知(第33条)

A. 通知すべき時期

(1) 管理者は、どの時点でデータ侵害の事実を知ったことになるのか?

監督機関に通知すべき時期について、GDPR第33条は、「不当な遅滞なく」、「可能な場合、データ侵害の事実を知った後72時間以内に」と規定します。ガイドラインは、その起算点となる「データ侵害の事実を知った」時点について、次のような解釈を示します。

“when that controller has a reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised”
(個人データ侵害をもたらすセキュリティ事故が発生したことについて合理的な程度に確信した時点)

抽象的な表現ですが、ガイドラインはいくつかの例を示します。

  • 暗号化されていないCDを紛失した場合、権限のない人物がデータにアクセスできたかどうか確認できないが、データ侵害の発生について合理的な程度の確信があるので、CDを紛失したことを認識した時点で管理者は知ったことになる。
  • 管理者の顧客の個人データを偶然受け取ったと部外者から通報があり、証拠も示された場合、証拠が示された時点で管理者は知ったことになる。
  • 管理者がネットワーク侵入の可能性を検知した場合、システム調査の結果、個人データが侵害されたことを確認した時点で管理者は知ったことになる。
  • サイバー犯罪実行者から管理者に対して身代金目的でシステムを乗っ取ったと連絡があった場合、管理者は連絡があった時点で知ったことになる。

上の例で示されるように、データ侵害の可能性を最初に知った後、初期調査を行っている期間中は、まだ知ったとはみなされません。この初期調査はなるべく早い時期に行い、データ侵害が発生したことを合理的な程度に確信するかどうか、及ぼす可能性がある結果について判断しなければなりません。

このような判断を的確に行うために、管理者はデータ侵害の検知と対応について、あらかじめ社内の手続を確立しておくべきです。データ侵害が検知されたときには直ちに経営レベルに報告し、自体への対処、監督機関及びデータ主体への通知に対応できるよう、以下のような項目について、予め手続を詳しく定めておくべきです。

  • インシデント対応、データ侵害の有無の判断及びリスク評価に関する責任者を決め、すべての情報をこの責任者に集約すること
  • 組織内の関係部署を集め、データ侵害が個人にもたらすリスクを評価すること
  • 必要に応じて監督機関、影響を受ける個人に通知すること
  • データ侵害の影響の封じ込めと回復にあたること

データ侵害を検知できること、対処できること、タイムリーに通知できることは、GDPR第32条が要求する対策(個人データのセキュリティについて適切なレベルを保証するための技術的、組織的対策)を構成する不可欠の部分であるとガイドラインは位置づけます。

(2) 処理者の義務

GDPR第33条に基づく管理者のデータ侵害通知義務について、GDPR第28条は処理者がこれを支援する義務を規定しています。また、GDPR第33条第2項は、処理者がデータ侵害の事実を知ったときは、不当な遅延なく (without undue delay) 管理者に通知すべきことを規定しています。
これらの規定を受け、ガイドラインでは、処理者がデータ侵害の事実を知った時点で管理者も「知った」ことになるという運用指針を示しました。「不当な遅滞なく」について、ガイドラインでは、作業部会の見解として、データ侵害の事実を知ったときには管理者に直ちに通知すること (immediate notification) 、第一報を入れ、追加情報が得られ次第、逐次情報提供することを推奨しています。

処理者は、管理者の通知義務を代行することもできます。このような代行通知については管理者から処理者に対する適切な授権が必要であり、第28条に基づき管理者と処理者との間で締結される処理契約に記載することになります。このような代行通知が行われる場合にも、通知に関する最終的な法的責任は管理者にあります。

このように処理者がデータ侵害通知の義務履行に果たす役割は非常に大きいので、ガイドラインは、管理者と処理者との間で通知の方法についてあらかじめ手続を取り決めておくべきであるとしています。

B. 通知すべき内容

監督機関に通知すべき情報項目は第33条第3項に列記されていますが、ガイドラインでは、正確なことがわからなくても、タイムリーな通知に努めるべきであることが強調され、データ侵害の発生は確かだが、影響範囲が不明な場合、段階的な通知 (notification in phases) を行うことが管理者に課せられた義務を果たす上で安全な方法であるとされます。

このような「段階的な通知」は、GDPR第33条第4項でも想定されています。段階的な通知を行う場合には、遅延の理由も示さなければなりません。ガイドラインは、第一報を入れる時点で、追加情報があるかどうかを監督機関に知らせ、追加情報の提供時期、提供方法については監督機関と相談すべきであるとしています。

C. 複数の加盟国にわたる個人に影響をあたえる場合

複数のEU加盟国に所在する個人に影響するデータ侵害があった場合、管理者の主たる監督機関 (lead supervisory authority) に報告すべきです。主たる監督機関の決め方は第56条に規定されています。管理者は、あらかじめどの監督機関が自社の主たる監督機関であるかを確認しておくべきです。もし主たる監督機関が特定できない場合は、データ侵害が発生した場所を管轄する監督機関に通知すべきです。

D. 通知を必要としない状況

データ侵害について監督機関への通知を必要としないのは、侵害が自然人の権利又は自由にリスクを及ぼす可能性が低い (unlikely) 場合(第33条第1項)です。(IIJ注:unlikelyは確率として50%を下回るような場合の表現です。)ガイドラインでは、例として、暗号化された個人データの秘匿性が侵害されても、複合キーが侵害されていない場合を挙げています。この場合でも、侵害された暗号化データのバックアップがなくデータが利用できない、又はバックアップがあっても復旧に長時間を要するなど、可用性の侵害によりデータ主体にリスクを及ぼす可能性がある場合は、監督機関への通知が必要です。

3.データ主体への通知(第34条)

A. 通知が必要な場合

個人データの侵害が自然人の権利又は自由に高いリスクをもたらす可能性が高い時 (likely to result in a high risk) は、データ主体に通知しなければなりません(第34条第1項)。この閾値は、監督機関への通知の場合よりも高くなっています。「遅滞なく」(without undue delay) について、ガイドラインは、なるべく早く (as soon as possible) であるとしています。通知の目的はデータ主体が自分自身を守るためにとるべき対策について情報提供することです。

B. 提供すべき情報

第34条第2項の規定により、関係個人へのデータ侵害の通知に含むべき情報項目は以下のとおりです。

  • 侵害の内容について
  • データ保護役(DPO)の氏名/連絡先
  • 侵害により発生する可能性が高い影響について
  • 影響緩和策など、管理者が講じた、又は今後講じる対策について

ガイドラインは、侵害の影響が及ぶ個人が自分自身を保護するためにとるべき行動についての助言を提供すべきであることが強調されています。たとえば、パスワードの変更を促すなどです。

C. 個人への連絡方法

データ侵害により影響を受ける個人への連絡方法について、ガイドラインは、基本的には直接通知すべきであり、電子メール、SMS、郵便などを利用すべきこと、データ侵害の通知だけを目的としたメッセージで行うべきことを強調しています。報道発表、会社のブログなどは通知媒体として不適切であるとされています。

また、監督機関と相談し、通知すべきメッセージの内容、最も適切な連絡方法についても助言を受けることが推奨されています。

第34条第3項に規定されている通知を必要としない場合の条件について、ガイドラインでは次の例が示されています。

  • 管理者が侵害発生以前から個人データを保護するために適切な技術的及び組織的対策、特に、権限なき者が個人データを読解できないような対策をとっている場合。例えば、最新技術による暗号化により個人データが保護されている場合など。
  • データ保護役(DPO)の氏名/連絡先
  • 侵害直後に管理者がとった対策により、個人の権利又は自由に対する高いリスクが実現化する可能性がもはや高くないことが保証される場合。例えば、個人データにアクセスした者が当該データについて何らかの行為を行う前にこれを突き止めて防御策をとった場合。このような場合でも、関連するデータの性質によっては、秘匿性の侵害がもたらす影響について考慮しなければなりません。
  • 侵害の結果、連絡先が失われた場合、当初から連絡先が不明であった場合など、個人への連絡に不相応の労作を要する場合。例えば、洪水被害にあった統計事務所の倉庫に個人データを含む書類が保管してあった場合など。このような場合、管理者は公共的な通知手段などを利用しなければなりません。不相応な労作を要する場合には、求めに応じて(on demand)侵害に関する情報を提供するような術的なしくみを考慮すること。

4.リスクの評価について

監督機関、データ主体に通知が必要な場合はそれぞれ以下のとおりです。

監督機関への通知が必要 侵害により個人の権利又は自由にリスクが生じる可能性が高い場合
データ主体への通知が必要 侵害により個人の権利又は自由に高いリスク(high risk)が生じる可能性が高い場合

データ主体への通知が必要となる「高いリスク」について、ガイドラインは次の指針を与えています。

  • データ侵害により個人に肉体的、物質的(金銭的)又は非物質的(非金銭的)損害が生じるかもしれない場合。例えば、差別、成りすまし、詐欺、経済的損失、名誉の毀損など。
  • 人種、政治的意見、宗教・哲学的信条、労働組合への所属、遺伝、身体計測、健康、性生活、犯罪などに関するデータが侵害された場合、このような損害が発生する可能性が高いと考えるべきである。

ガイドラインは、リスク評価において以下の要素を考慮すべきとしています。

侵害の種類 侵害の種類(秘匿性、可用性、完全性)に応じて、リスクレベルは異なる。例えば、
  • 医療情報が権限のない者に開示される秘匿性侵害
  • ある個人の医療データが紛失し回復できない場合の可用性障害
では、もたらされる結果が違う。
侵害の内容・深刻度、被侵害データの量
  • キーファクターは被侵害データの機微さ(sensitivity)である。
  • 被影響個人に関する既知のデータについても考慮すべき。例えば、養親の氏名住所が実親に開示される場合、養親及び養子にとって深刻な結果を生じる可能性がある。
  • 複数データの組み合わせは単独データよりも機微である。例えば、健康データ、身元証明書類、クレジットカードデータの組み合わせが開示された場合、成りすましに利用される可能性がある。
  • 一見して差し障りのないデータの開示が深刻な影響を及ぼす場合がある。例えば、定期配送顧客のリストは一見機微ではないが、休日に配送停止を依頼する顧客のデータは、犯罪者にとって好都合な情報になりうる。
個人特定の容易さ 被侵害データにアクセスした者が、当該データだけで直接に、又は他データと組み合わせて間接的に、個人を特定することがどれくらい容易であるかは(リスク評価の)重要な要素。
影響の深刻さ
  • 被侵害データの種類(機微なもの、金銭関係など)
  • データ主体が社会的弱者であるかどうか(患者、子供など)
  • 開示の相手方(意図不明な者、悪意ある者、信頼できる取引先など)
  • 影響が続く期間(永続する影響は高リスク)
データ主体の特殊性 子供など社会的弱者へのリスクは高い。データ主体の特殊要因を考慮すべき。
被影響データ主体の数 一般的に被影響データ主体の数が多いほどリスクは高い。
管理者の特殊性 管理者の特殊性によりリスクは異なる。例えば医療機関など機微なデータを処理する管理者のデータ侵害はリスクが高い。
一般的に考慮すべき要素 一般的には、考えうる影響の深刻さとそのような事象が発生する蓋然性の組み合わせとしてリスクを評価すべき。

5.アカウンタビリティと記録義務

監督機関への通知の要否を問わず、管理者は、すべてのデータ侵害について記録を保持しなければなりません(第33条第5項)。
ガイドラインは、このような場合、以下の項目を記録として残すべきだとしています。

  • データ侵害の詳細内容(原因、発生した事象)
  • データ侵害の影響範囲
  • データ侵害を復旧・緩和するためにとった対策
  • 通知しなかった場合には、そのような判断に至った検討経緯
  • 通知が遅延した場合には、その理由
  • 被影響個人への説明内容

この記録は、管理者が通知義務を遵守したかどうかを判定するために監督機関によって利用されます。このように管理者自らが遵守していることを証明する義務を負うというアカウンタビリティの考え方は、GDPRを貫く基本的な原則の一つです。

IIJではGDPRを始めとする世界各国のプライバシー保護規制対応支援するソリューションや、お客様のGDPR遵守対応をサポートするDPOのアウトソーシングサービスをご提供しています。
IIJプライバシー保護規制対応ソリューション
IIJ DPOアウトソーシングサービス

株式会社インターネットイニシアティブ ビジネスリスクコンサルティング部
プリンシパルコンサルタント 鎌田 博貴