個人データの侵害時のルールと対応について


GDPRでは、仮に個人データの侵害(後述)が発生した際に取るべき行動を明確に規定しています。本ページでは、実際のGDPRの条文の日本語訳をもとに解説していきます。

「個人データの侵害」について

GDPRの第4条12項で以下のような記載がされています。

(12)「個人データ侵害」とは、移転、保存又はその他の取扱いがなされた個人データに対する偶発的又は違法な破壊、滅失、変更、許可されていない開示又はアクセスをもたらすセキュリティ侵害をいう。

(引用:規則に基づく個人データ侵害通知に関するガイドライン

偶発的(=データ取扱い者のミスなど)と、違法(=明確な意思を持った上での侵害)の両方に適用されるものとされています。


破壊、滅失について

データが破損、消去されることにより、データの一部ないし全部を利用できなくなること。


変更について

データの内容が本来のデータから書き換わること。


許可されていない開示又はアクセスをもたらすセキュリティ侵害

データを外部から覗かれること、もしくはデータが外部に漏えいすること。


 上記の場合を、個人データの侵害として定めています。

72時間ルールについて

仮に個人データの侵害が発生した場合の対応として、第34条に規定をしています。


1. 個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72 時間以内に、第55 条に従って個人データの侵害を管轄監督機関に通知しなければならない。ただし、個人データの侵害により自然人の権利又は自由に対するリスクが生じ得ない場合を除く。監督機関への通知が72 時間以内になされない場合には、遅滞に関する理由と共に通知されなければならない。

2. 取扱者は、個人データの侵害に気付いた後、不当な遅滞なしに管理者に通知しなければならない。 

3. 第1 項で定める通知は少なくとも次に掲げる事項が含まれなければならない。
(a) 個人データ侵害の性質の記述。可能であれば、関連するデータ主体の種類及び概数並びに関連する個人データの記録の種類及び概数を含む。
(b) データ保護オフィサーの氏名及び詳細な連絡先又はより情報が入手できるその他連絡先の通知。
(c) 個人データ侵害に関する起こり得る結果の記述。
(d) 個人データ侵害に対処するために管理者によって取られている又は取られることが意図された対策の記述。適切な場合、個人データ侵害により起こり得る悪影響を軽減するための対策を含む。

4. 通知と同時に情報を提供することが不可能である場合、情報はさらなる不当な遅滞なしに段階的に提供されてもよい。

5. 管理者は、個人データ侵害に関わる事実、その影響及び取られた救済手段を含め、あらゆる個人データ侵害を文書で残さなければならない。当該文書は監督機関が本条の遵守を確かめられるようにしなければならない。

(引用:GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?


1では、個人データの侵害が発生した際に、侵害されたデータが自然人の権利や自由を侵害しない場合を除いて発生を検知してから72時間以内に監督機関に通知することを義務としています。


2では、取扱者が個人データの侵害を検知した場合に管理者に遅滞なく通知することを取り決めています。1とあまり違いが無いように見えますが、1では検知するのは管理者(社内の人間)で、通知先は監督機関(外部)としており、2ではデータの取扱者(社内)が検知し、管理者(社内)に通知するとしています。

 誰が個人データの侵害を検知した場合でも、正しいルートを踏んで監督機関に通知するように定められています。


3では、通知すべき内容を記載しています。

  • (a)は、データ侵害の状況と、侵害されたデータの種類と数
  • (b)は、個人データ保護オフィサー(DPO)の氏名と連絡先
  • (c)は、データ侵害の結果何が起こりうるかの予測
  • (d)は、データ侵害に対して現在どのような対応を行っているか(=一次対応)


4では、一度の通知で前項a~dを満たすことが難しい場合は、可能な限り遅滞なく段階的に通知しても良いとしています。


5では、発生した個人データの侵害に関するあらゆる情報をドキュメントとして残すことを義務付けています。第34条では個人データの侵害が発生した場合にデータ主体にも通知することを義務付けています。

基本的には第33条と内容は変わりませんが、一般人でも理解できるような、平易な文章を使うこととしています。

個人データの侵害時のルールと対応のまとめ

個人データの侵害が発生した場合に、72時間以内にその場で取るべき行動や通知先を判断することはとてもむずかしいため、

  • 扱っている情報の種類、数
  • 通知すべき監督機関
  • 個人データの侵害が起きたときの対応方法
  • 個人データの侵害が起きうるリスク

などは前もって定めておくことをおすすめいたします。


しかし、個人データの侵害が起きないに越したことは無いので、あくまでセキュリティを万全としたデータ管理の状態を整備することを最優先としたほうが良いでしょう。

GDPR対策、日本国内のクッキー規制に関する情報を配信|GDPR-LABO

Webサイト運営者に向けたGDPR対策、eプライバシー、日本国内のCookieに関する規制情報を解説します。