個人データのセキュリティに関する義務

処理のセキュリティ

管理者/処理者は、リスクに見合ったセキュリティレベルを確保するために、到達水準、実施コスト、処理の性質、範囲、文脈および目的、ならびにデータ主体の権利と自由に対する様々な可能性と重大性のリスクを考慮し、「適切な技術的および組織的対策」を実施しなければなりません。「適切な技術的および組織的対策」には、以下のプロセスが含まれます。

（a）個人データの仮名化および暗号化
（b）処理システムならびにサービスの継続中の機密性、完全性、可用性および復旧を確保する能力
（c）物理的または技術的事故の際、個人データの可用性とそのアクセスを迅速に復旧する能力
（d）処理の安全を確保するための技術的及び組織的対策の効果を定期的に審査し評価するプロセス

管理者または処理者によって実施された「適切な技術的および組織的対策」は、監督機関が制裁金を課すか否かの決定および個別案件におけるべき制裁金額の決定において考慮すべき事項の一つ、つまり、管理者/処理者の責任の程度を決する上で考慮すべき事項として規定されています。「適切な技術的および組織的対策」の策定の前提として必要となるセキュリティレベルの適切さの評価にあたっては、特に、偶発的または違法な破壊、滅失、変更、伝達、保管およびその他の方法での処理がなされた個人データの無許可の開示やアクセスから処理によって提起されるリスクを考慮しなければならないとされています。事前にセキュリティレベルの評価を行った上で、技術的および組織的対策を立案することが重要であるといえます。

個人データ侵害の監督機関への通知

個人データの侵害とは、移転、保存またはその他の取扱いがなされた個人データに対する偶発的もしくは違法な破壊、滅失、変更、許可されていない開示またはアクセスをもたらすセキュリティ侵害のことをいいます。個人データの侵害の例としては、サイバーアタックによって自社サーバに蔵置されたEEA所在者の個人データが漏洩した場合が考えられます。
管理者は、個人データの侵害が発生した場合、自然人の権利および自由に対してリスクが生じ得る侵害を、不当な遅滞なく、可能であれば侵害を認識してから72時間以内に監督機関に通知しなければなりません（処理者は、個人データの侵害を認識した後、不当な遅滞なしに管理者に通知しなければなりません）。また、監督機関への通知が72時間以内になされない場合には、遅滞に関する理由と共に通知されなければならないとされています。当該通知には少なくとも以下の事項を含めなければならないとされています。当該通知義務に違反した場合、1000万ユーロ以下または前会計年度の全世界年間売上高の2%以下のいずれか高い方の制裁金が課される可能性があります。

他方で、通知と同時に情報（上のGDPR第33条第3項各号記載の事項に該当する情報を意味すると解されますが、文言上は必ずしも明らかではありません）を提供することが不可能である場合、さらなる遅滞なしに情報を段階的に提供してもよいとされています。