第4回：個人データ侵害通知に関するガイドラインの概要

1.個人データの侵害とは

17/EN WP250 ”Guideline on Personal data breach notification under Regulation 2016/679”
http://ec.europa.eu/newsroom/document.cfm?doc_id=47741
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

「個人データ侵害」は、GDPR第4条第12項で次のように定義されています。

"a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed"
（転送、保存、その他の処理を受けている個人データに関する偶発的又は違法な破壊、紛失、変更、不正な開示又はアクセスに至るセキュリティの侵害）

breachという語を一言で適切な日本語に訳出するのはむずかしいのですが、GDPR本文の書きぶり及びガイドラインの内容から推察すると、
(1)違法な外力によりセキュリティが破られる状況
(2)システムの不具合又は業務上のミスによりセキュリティが破綻する状況
の両方を想定していると考えられます。

ガイドラインは、データ侵害には次の３つの類型があるとします。

個人データの侵害というと、典型的なケースとして、秘匿すべき重要な情報（例えばアカウント情報、カード情報など）の漏洩、盗取を想定しがちですが、本来利用できるべきデータが利用できなくなる「可用性の侵害」、データが変更・改ざんされる「完全性の侵害」も、GDPRが通知義務の適用として想定するデータ侵害です。例えば、医療機関で重要な医療データが一時的であっても利用できなくなった場合、患者の生命・健康にリスクを及ぼす可能性があるので、監督機関に通知しなければなりません。

2.監督機関への通知（第33条）

A. 通知すべき時期

(1) 管理者は、どの時点でデータ侵害の事実を知ったことになるのか？

監督機関に通知すべき時期について、GDPR第33条は、「不当な遅滞なく」、「可能な場合、データ侵害の事実を知った後72時間以内に」と規定します。ガイドラインは、その起算点となる「データ侵害の事実を知った」時点について、次のような解釈を示します。

“when that controller has a reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised”
（個人データ侵害をもたらすセキュリティ事故が発生したことについて合理的な程度に確信した時点）

抽象的な表現ですが、ガイドラインはいくつかの例を示します。

• 暗号化されていないCDを紛失した場合、権限のない人物がデータにアクセスできたかどうか確認できないが、データ侵害の発生について合理的な程度の確信があるので、CDを紛失したことを認識した時点で管理者は知ったことになる。
• 管理者の顧客の個人データを偶然受け取ったと部外者から通報があり、証拠も示された場合、証拠が示された時点で管理者は知ったことになる。
• 管理者がネットワーク侵入の可能性を検知した場合、システム調査の結果、個人データが侵害されたことを確認した時点で管理者は知ったことになる。
• サイバー犯罪実行者から管理者に対して身代金目的でシステムを乗っ取ったと連絡があった場合、管理者は連絡があった時点で知ったことになる。

上の例で示されるように、データ侵害の可能性を最初に知った後、初期調査を行っている期間中は、まだ知ったとはみなされません。この初期調査はなるべく早い時期に行い、データ侵害が発生したことを合理的な程度に確信するかどうか、及ぼす可能性がある結果について判断しなければなりません。

このような判断を的確に行うために、管理者はデータ侵害の検知と対応について、あらかじめ社内の手続を確立しておくべきです。データ侵害が検知されたときには直ちに経営レベルに報告し、自体への対処、監督機関及びデータ主体への通知に対応できるよう、以下のような項目について、予め手続を詳しく定めておくべきです。

• インシデント対応、データ侵害の有無の判断及びリスク評価に関する責任者を決め、すべての情報をこの責任者に集約すること
• 組織内の関係部署を集め、データ侵害が個人にもたらすリスクを評価すること
• 必要に応じて監督機関、影響を受ける個人に通知すること
• データ侵害の影響の封じ込めと回復にあたること

データ侵害を検知できること、対処できること、タイムリーに通知できることは、GDPR第32条が要求する対策（個人データのセキュリティについて適切なレベルを保証するための技術的、組織的対策）を構成する不可欠の部分であるとガイドラインは位置づけます。

(2) 処理者の義務

GDPR第33条に基づく管理者のデータ侵害通知義務について、GDPR第28条は処理者がこれを支援する義務を規定しています。また、GDPR第33条第2項は、処理者がデータ侵害の事実を知ったときは、不当な遅延なく (without undue delay) 管理者に通知すべきことを規定しています。
これらの規定を受け、ガイドラインでは、処理者がデータ侵害の事実を知った時点で管理者も「知った」ことになるという運用指針を示しました。「不当な遅滞なく」について、ガイドラインでは、作業部会の見解として、データ侵害の事実を知ったときには管理者に直ちに通知すること (immediate notification) 、第一報を入れ、追加情報が得られ次第、逐次情報提供することを推奨しています。

処理者は、管理者の通知義務を代行することもできます。このような代行通知については管理者から処理者に対する適切な授権が必要であり、第28条に基づき管理者と処理者との間で締結される処理契約に記載することになります。このような代行通知が行われる場合にも、通知に関する最終的な法的責任は管理者にあります。

このように処理者がデータ侵害通知の義務履行に果たす役割は非常に大きいので、ガイドラインは、管理者と処理者との間で通知の方法についてあらかじめ手続を取り決めておくべきであるとしています。

B. 通知すべき内容

監督機関に通知すべき情報項目は第33条第3項に列記されていますが、ガイドラインでは、正確なことがわからなくても、タイムリーな通知に努めるべきであることが強調され、データ侵害の発生は確かだが、影響範囲が不明な場合、段階的な通知 (notification in phases) を行うことが管理者に課せられた義務を果たす上で安全な方法であるとされます。

このような「段階的な通知」は、GDPR第33条第4項でも想定されています。段階的な通知を行う場合には、遅延の理由も示さなければなりません。ガイドラインは、第一報を入れる時点で、追加情報があるかどうかを監督機関に知らせ、追加情報の提供時期、提供方法については監督機関と相談すべきであるとしています。

C. 複数の加盟国にわたる個人に影響をあたえる場合

複数のEU加盟国に所在する個人に影響するデータ侵害があった場合、管理者の主たる監督機関 (lead supervisory authority) に報告すべきです。主たる監督機関の決め方は第56条に規定されています。管理者は、あらかじめどの監督機関が自社の主たる監督機関であるかを確認しておくべきです。もし主たる監督機関が特定できない場合は、データ侵害が発生した場所を管轄する監督機関に通知すべきです。

D. 通知を必要としない状況

データ侵害について監督機関への通知を必要としないのは、侵害が自然人の権利又は自由にリスクを及ぼす可能性が低い (unlikely) 場合（第33条第1項）です。（IIJ注：unlikelyは確率として50%を下回るような場合の表現です。）ガイドラインでは、例として、暗号化された個人データの秘匿性が侵害されても、複合キーが侵害されていない場合を挙げています。この場合でも、侵害された暗号化データのバックアップがなくデータが利用できない、又はバックアップがあっても復旧に長時間を要するなど、可用性の侵害によりデータ主体にリスクを及ぼす可能性がある場合は、監督機関への通知が必要です。

3.データ主体への通知（第34条）

A. 通知が必要な場合

個人データの侵害が自然人の権利又は自由に高いリスクをもたらす可能性が高い時 (likely to result in a high risk) は、データ主体に通知しなければなりません（第34条第1項）。この閾値は、監督機関への通知の場合よりも高くなっています。「遅滞なく」(without undue delay) について、ガイドラインは、なるべく早く (as soon as possible) であるとしています。通知の目的はデータ主体が自分自身を守るためにとるべき対策について情報提供することです。

B. 提供すべき情報

第34条第2項の規定により、関係個人へのデータ侵害の通知に含むべき情報項目は以下のとおりです。

• 侵害の内容について
• データ保護役(DPO)の氏名／連絡先
• 侵害により発生する可能性が高い影響について
• 影響緩和策など、管理者が講じた、又は今後講じる対策について

ガイドラインは、侵害の影響が及ぶ個人が自分自身を保護するためにとるべき行動についての助言を提供すべきであることが強調されています。たとえば、パスワードの変更を促すなどです。

C. 個人への連絡方法

データ侵害により影響を受ける個人への連絡方法について、ガイドラインは、基本的には直接通知すべきであり、電子メール、SMS、郵便などを利用すべきこと、データ侵害の通知だけを目的としたメッセージで行うべきことを強調しています。報道発表、会社のブログなどは通知媒体として不適切であるとされています。

また、監督機関と相談し、通知すべきメッセージの内容、最も適切な連絡方法についても助言を受けることが推奨されています。

第34条第3項に規定されている通知を必要としない場合の条件について、ガイドラインでは次の例が示されています。

• 管理者が侵害発生以前から個人データを保護するために適切な技術的及び組織的対策、特に、権限なき者が個人データを読解できないような対策をとっている場合。例えば、最新技術による暗号化により個人データが保護されている場合など。
• データ保護役(DPO)の氏名／連絡先
• 侵害直後に管理者がとった対策により、個人の権利又は自由に対する高いリスクが実現化する可能性がもはや高くないことが保証される場合。例えば、個人データにアクセスした者が当該データについて何らかの行為を行う前にこれを突き止めて防御策をとった場合。このような場合でも、関連するデータの性質によっては、秘匿性の侵害がもたらす影響について考慮しなければなりません。
• 侵害の結果、連絡先が失われた場合、当初から連絡先が不明であった場合など、個人への連絡に不相応の労作を要する場合。例えば、洪水被害にあった統計事務所の倉庫に個人データを含む書類が保管してあった場合など。このような場合、管理者は公共的な通知手段などを利用しなければなりません。不相応な労作を要する場合には、求めに応じて(on demand)侵害に関する情報を提供するような術的なしくみを考慮すること。

4.リスクの評価について

監督機関、データ主体に通知が必要な場合はそれぞれ以下のとおりです。

データ主体への通知が必要となる「高いリスク」について、ガイドラインは次の指針を与えています。

• データ侵害により個人に肉体的、物質的(金銭的)又は非物質的(非金銭的)損害が生じるかもしれない場合。例えば、差別、成りすまし、詐欺、経済的損失、名誉の毀損など。
• 人種、政治的意見、宗教・哲学的信条、労働組合への所属、遺伝、身体計測、健康、性生活、犯罪などに関するデータが侵害された場合、このような損害が発生する可能性が高いと考えるべきである。

ガイドラインは、リスク評価において以下の要素を考慮すべきとしています。

5.アカウンタビリティと記録義務

監督機関への通知の要否を問わず、管理者は、すべてのデータ侵害について記録を保持しなければなりません(第33条第5項)。
ガイドラインは、このような場合、以下の項目を記録として残すべきだとしています。

• データ侵害の詳細内容(原因、発生した事象)
• データ侵害の影響範囲
• データ侵害を復旧・緩和するためにとった対策
• 通知しなかった場合には、そのような判断に至った検討経緯
• 通知が遅延した場合には、その理由
• 被影響個人への説明内容

この記録は、管理者が通知義務を遵守したかどうかを判定するために監督機関によって利用されます。このように管理者自らが遵守していることを証明する義務を負うというアカウンタビリティの考え方は、GDPRを貫く基本的な原則の一つです。

GDPR特集・コンテンツ一覧

• 【コラム】ここから始めるGDPR対策の実装
• 【海外識者シリーズ】杉本武重氏（全6回）第1回 EUで始まる新しい一般データ保護規則「GDPR」とは？