事前の対策なしに”72時間以内”の報告は困難
第1回で紹介したとおり、GDPRでは第33条において個人データの漏洩が発覚した時点から72時間以内に監督機関に報告すること、第34条において遅滞なく被害者(データ主体)に通知することを義務付けています。また、監督機関への報告には少なくとも以下の(1)~(4)を、被害者への通知には(2)~(4)を含むこととしています。
- 漏洩した個人データの種類と件数
- データ保護責任者の名前と連絡先、詳細情報を得られる方法
- 個人データの漏洩によって想定される被害
- 実施済みあるいは実施予定の対策
過去の個人情報漏洩事件を元に、各企業が漏洩発覚後に行った一連の対応を図1にまとめました。これらの例では監督機関への報告までに数ヶ月要しているケースもあり、事前の対策なしに72時間以内という短期間に上記項目を報告することは困難だと言えます。
図1:個人情報漏洩発覚後に企業が行った一連の対応
*公開情報を基に、KPMGにてケースを作成[クリックすると図が拡大します]
漏洩時に限られた時間内に正確な報告を行うためには、予めインシデント対応の態勢を整備し役割分担や手順を明確にしておく必要があります。加えて、前述の「(1)漏洩した個人データの種類と件数」「(4)実施済みの対策(自社および関与委託先)」を早期に取りまとめるためには、図2のとおり、「個人データの移転経路」「システムで実施していた安全管理対策」「(委託先が関わる場合)委託先で実施していた安全管理対策」を定常的に取りまとめ、把握しておくことが求められます。これらの情報を台帳として管理しておくことで、漏洩事案が発生した場合に速やかに事態を把握し、速やかな対応の実施が可能となります。
図2:定常的に管理が必要な3つの台帳
