MENU

GDPR 情報漏えい時の72時間ルールとは?

GDPRでは、個人データ保護の侵害が発生した場合には、それを認識してから72 時間以内に所定の監督機関に通知することが義務づけられています。

 

個人データの侵害とは?

個人データの侵害というのは、情報漏えいのイメージが強いかと思いますが、その他、間違ってデータを消去してしまった、書き換えてしまった、といった場合も侵害にあたります。
再度入力しなければならないといった事態も、個人の権利を侵害していることになりますからね。

 

どんな報告が必要なの?

そして、監督機関に報告を行う時には、発生している個人データ侵害状況の報告が必要なのはもちろんですが、
その他に、「個人データ侵害に関する起こり得る結果」や「個人データ侵害に対処するため、もしくは悪影響を軽減するための対策」なども必要です。

 

これは、事前に情報侵害時の行動についてシュミレーションなど事前対策をしていないとなかなか難しいですね。

 

72時間以内に報告を行うためには、管理者は予めちゃんと体制をとっておく必要がありますね。

 

GDPRの条文チェック

実際にGDPRの条文を確認しましょう。
第33条が監督機関への通知第34条がデータ主体への通知についてです。

 

第33条 個人データ侵害の監督機関への通知
Article 33 Notification of a personal data breach to the supervisory authority
1. 個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72 時間以内に、第55 条に従って個人データの侵害を管轄監督機関に通知しなければならない。ただし、個人データの侵害により自然人の権利又は自由に対するリスクが生じ得ない場合を除く。監督機関への通知が72 時間以内になされない場合には、遅滞に関する理由と共に通知されなければならない。
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

 

2. 取扱者は、個人データの侵害に気付いた後、不当な遅滞なしに管理者に通知しなければならない。
2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

 

3. 第1 項で定める通知は少なくとも次に掲げる事項が含まれなければならない。
3. The notification referred to in paragraph 1 shall at least:
(a) 個人データ侵害の性質の記述。可能であれば、関連するデータ主体の種類及び概数並びに関連する個人データの記録の種類及び概数を含む。
(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
(b) データ保護オフィサーの氏名及び詳細な連絡先又はより情報が入手できるその他連絡先の通知。
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;
(c) 個人データ侵害に関する起こり得る結果の記述。
(c) describe the likely consequences of the personal data breach;
(d) 個人データ侵害に対処するために管理者によって取られている又は取られることが意図された対策の記述。適切な場合、個人データ侵害により起こり得る悪影響を軽減するための対策を含む。
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

 

4. 通知と同時に情報を提供することが不可能である場合、情報はさらなる不当な遅滞なしに段階的に提供されてもよい。
4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

 

5. 管理者は、個人データ侵害に関わる事実、その影響及び取られた救済手段を含め、あらゆる個人データ侵害を文書で残さなければならない。当該文書は監督機関が本条の遵守を確かめられるようにしなければならない。
5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.

 

第34条 データ主体への個人データ侵害の通知
Article 34 Communication of a personal data breach to the data subject
1. 個人データ侵害が自然人の権利及び自由に対して高リスクを引き起こし得る場合、管理者は、不当な遅滞なしにデータ主体に個人データ侵害について通知しなければならない。
1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

 

2. 本条第1 項で定めるデータ主体への通知はデータ侵害の性質について明白で平易な文章で記述され、少なくとも、第33 条第3 項(b)号、(c)号及び(d)号で規定された情報並びに推奨事項を含むものとする。
2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and the recommendations provided for in points (b), (c) and (d) of Article 33(3).

 

3. 第1 項で定めるデータ主体への通知は、次に掲げるいずれかの状況に合致するのであれば、要求されない。
3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:
(a) 管理者が適切な技術的及び組織的保護対策を実施しており、当該対策が個人データ侵害によって影響を受ける個人データに適用されている場合。特に、暗号化のように、当該個人データにアクセスが許可されていないあらゆる人に対して個人データが判読できないといった対策
(a) the controller has implemented appropriate technical and organisational protection measures, and
that those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;
(b) 管理者が、第1 項で定めるデータ主体の権利及び自由に対する高リスクがもはや実現し得ないことを確実にする後続の対策をとった場合
(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;
(c) 通知が過度な労力を伴う場合。この場合、代わりとして、公表又はそれに類似する対策がなければならず、それによってデータ主体が等しく効果的手法で通知されること。
(c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

 

4. 管理者が個人データ侵害をデータ主体に未だ通知していない場合、監督機関は、高リスクを起こし得る個人データ侵害の可能性を考慮し、管理者に通知することを要求するか又は第3 項で定めるいずれかの条件に合致することを決定できる。
4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。