5月25日に施行されるGDPRでは、企業は個人データの侵害を認識してから原則として72時間以内に監督機関へ通知する義務を負い、違反した場合は前会計年度の全世界年間売上高の2%または1,000万ユーロのいずれか高い方を上限とする制裁金が課される可能性がある。
このサービスでは、PwCコンサルティングがさまざまな法規制対応で培った知見と、PwCサイバーサービスのインシデントレスポンスに関するノウハウを組み合わせ、個人データ侵害時の迅速な対応を支援するという。
専門知識・技能を備えたチームが、平時の段階に個人データを管理するシステムやネットワークの状況を把握し、GDPR対応の際に必要となるセキュリティ対策に関する質問に回答する。インシデント発生時には、初動対応や調査・復旧の進め方などについてアドバイスする。
情報漏えいが認められる場合には、緊急対応方法を提案し、72時間以内に監督機関へ通知を行うための報告書作成などを支援する。場合によっては、監督機関だけでなくデータ主体その他ステークフォルダーとのコミュニケーションについても支援する。ログデータ分析、マルウェア動的分析、漏えい情報調査などを代行実施することも可能だという。
個人データ侵害の原因は、サイバー攻撃、データ取扱者の過失、内部犯によるものなど、多様なケースが想定される。世界規模で猛威を振るう高度なサイバー攻撃を受けた場合、事象の把握、影響範囲の特定、復旧策の提示まで、1か月以上を要することもあり、遅滞なく監督機関やデータ主体にデータ侵害を通知するためには、事前の準備とインシデント発生時の適切な対応が不可欠だという。
GDPR対応には、規程類の整備、多国間でのデータ共有に必要な域外移転クリアランス、データ主体権利対応、データ保護施策・影響評価、リスクアセスメントなど、さまざまな要求事項があるが、万が一のデータ侵害発生時の迅速な対応支援を行うのが、この支援サービスだとしている。
