Global Reachグローバル展開する企業を支援

MENU

コラム|Column

個人データのセキュリティに関する義務

処理のセキュリティ

管理者/処理者は、リスクに見合ったセキュリティレベルを確保するために、到達水準、実施コスト、処理の性質、範囲、文脈および目的、ならびにデータ主体の権利と自由に対する様々な可能性と重大性のリスクを考慮し、「適切な技術的および組織的対策」を実施しなければなりません。「適切な技術的および組織的対策」には、以下のプロセスが含まれます。

(a)個人データの仮名化および暗号化
(b)処理システムならびにサービスの継続中の機密性、完全性、可用性および復旧を確保する能力
(c)物理的または技術的事故の際、個人データの可用性とそのアクセスを迅速に復旧する能力
(d)処理の安全を確保するための技術的及び組織的対策の効果を定期的に審査し評価するプロセス

管理者または処理者によって実施された「適切な技術的および組織的対策」は、監督機関が制裁金を課すか否かの決定および個別案件におけるべき制裁金額の決定において考慮すべき事項の一つ、つまり、管理者/処理者の責任の程度を決する上で考慮すべき事項として規定されています。「適切な技術的および組織的対策」の策定の前提として必要となるセキュリティレベルの適切さの評価にあたっては、特に、偶発的または違法な破壊、滅失、変更、伝達、保管およびその他の方法での処理がなされた個人データの無許可の開示やアクセスから処理によって提起されるリスクを考慮しなければならないとされています。事前にセキュリティレベルの評価を行った上で、技術的および組織的対策を立案することが重要であるといえます。

個人データ侵害の監督機関への通知

個人データの侵害とは、移転、保存またはその他の取扱いがなされた個人データに対する偶発的もしくは違法な破壊、滅失、変更、許可されていない開示またはアクセスをもたらすセキュリティ侵害のことをいいます。個人データの侵害の例としては、サイバーアタックによって自社サーバに蔵置されたEEA所在者の個人データが漏洩した場合が考えられます。
管理者は、個人データの侵害が発生した場合、自然人の権利および自由に対してリスクが生じ得る侵害を、不当な遅滞なく、可能であれば侵害を認識してから72時間以内に監督機関に通知しなければなりません(処理者は、個人データの侵害を認識した後、不当な遅滞なしに管理者に通知しなければなりません)。また、監督機関への通知が72時間以内になされない場合には、遅滞に関する理由と共に通知されなければならないとされています。当該通知には少なくとも以下の事項を含めなければならないとされています。当該通知義務に違反した場合、1000万ユーロ以下または前会計年度の全世界年間売上高の2%以下のいずれか高い方の制裁金が課される可能性があります。

  GDPR第33条第1項の通知に最低限含めなければならない事項(同条第3項)

(a)

個人データ侵害の性質に関する記述、可能であれば、関連するデータ主体の種類および概数、ならびに関連する個人データの記録の種類と概数

(b)

データ保護責任者の氏名および連絡先詳細、またはより情報が入手できるその他連絡先

(c)

個人データ侵害の結果、生じ得る結果に関する記述

(d)

個人データ侵害に対処するために管理者によって取られている対策、または取られることが予定されている対策の記述。必要に応じて、個人データ侵害により起こり得る悪影響を軽減するための対策を含む。

他方で、通知と同時に情報(上のGDPR第33条第3項各号記載の事項に該当する情報を意味すると解されますが、文言上は必ずしも明らかではありません)を提供することが不可能である場合、さらなる遅滞なしに情報を段階的に提供してもよいとされています。

IIJではGDPRを始めとする世界各国のプライバシー保護規制対応支援するソリューションや、お客様のGDPR遵守対応をサポートするDPOのアウトソーシングサービスをご提供しています。
IIJプライバシー保護規制対応ソリューション
IIJ DPOアウトソーシングサービス

杉本 武重

S&K Brussels法律事務所 代表パートナー

弁護士(日本、ニューヨーク州、ブリュッセル(B-List))

2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。