データ主体への個人データ侵害の通知
管理者は、個人データ侵害が自然人の権利および自由に対して高リスクを引き起こし得る場合、不当な遅滞なしにデータ主体に個人データ侵害について通知しなければなりません。当該通知義務に違反した場合、1000万ユーロ以下または前会計年度の全世界年間売上高の2%以下のいずれか高い方の制裁金が課される可能性があります。管理者は、次のいずれかの状況に合致する場合には、上記通知を行う必要はありません。つまり、管理者がデータ主体に対して個別に個人データ侵害の通知を行わなければならない場合は限定されているということです。管理者としては、個人データ侵害があった場合の対応が以下の列挙事由に該当することを確保できるようにすることが、負担を軽減する上では重要となります。
GDRR第34条第1項のデータ主体への通知が不要となる場合(同条第3項) | |
---|---|
(a) |
暗号化のように、個人データへのアクセスを許可されていないあらゆる人に対して個人データが判読できないようにするといった対策をはじめとする適切な技術的および組織的保護対策を、管理者が個人データ侵害によって影響を受ける個人データに対して適用している場合 |
(b) |
管理者が、自然人の権利および自由に対する高リスクが具体化し得ないことを確実にする事後的措置を取った場合 |
(c) |
過度な労力を要する場合。この場合、代わりとして、データ主体が等しく効果的手法で通知されるように公的な通信またはそれに類似する対策を取らなければならない |
個人データ侵害の監督機関への通知について、通知義務違反の場合に制裁金が課せられるという制度はGDPRが初めて導入するものではありません。代表的なものとしては、既にイギリスやオランダが導入しており、実際にイギリスでは豊富な執行事例があります。したがって、GDPRの施行を待たずに対策を採ることが重要な点になります。
また、侵害を認識してから72時間以内に監督当局へ通知するという義務は、平時から準備がなされていなければ時間内での対応は難しいというのが実情ではないかと考えられます。具体的には、サイバーアタックがあった場合にEEA所在者の個人データが漏洩したかどうかを確認し、実際にEEA所在者の個人データの漏洩が確認された場合には制限時間内に監督当局へ通知を行うためのプロセスをマニュアル化しておくといった対応が考えられます。
個人データ侵害の監督機関への通知義務への対応をきっかけとして貴社内で個人データのセキュリティ対策を改めて評価し直し、有事の場合に迅速に動けるように準備をしておくことが肝心と考えます。
- 第1回:EUで始まる新しい一般データ保護規則「GDPR」とは?
- 第2回:新しい一般データ保護規則概説(2) - GDPRの適用範囲と執行制度
- 第3回:新しい一般データ保護規則概説(3) - 個人データ処理の要件および個人データのセキュリティ
- 第4回:新しい一般データ保護規則概説(4) - データ保護責任者(Data Protection Officer)の要件
- 第5回:新しい一般データ保護規則概説(5)データ保護影響評価およびデータ保護監督当局との事前相談
・IIJプライバシー保護規制対応ソリューション
・IIJ DPOアウトソーシングサービス
杉本 武重
S&K Brussels法律事務所 代表パートナー
弁護士(日本、ニューヨーク州、ブリュッセル(B-List))
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。