運送業の残業代訴訟、不利にならないための対応と主張立証のポイント
catfish_admin
経営リスクナビ
GDPRデータ侵害報告の実務|72時間ルールの期限と日本企業の対応
catfish_admin
GDPRにおける個人データ侵害時の報告義務は、EU圏のデータを扱う日本企業にとって対応が難しい課題です。万が一インシデントが発生した場合、72時間という厳しい期限内に監督当局へ報告する必要があり、対応を誤ると高額な制裁金につながる可能性があります。この記事では、GDPRが定める個人データ侵害時の監督当局への報告義務と、データ主体(本人)への通知義務について、対象となるケースから具体的な報告内容、違反時のリスクまでを実務的な観点から解説します。
目次
GDPR報告義務の対象となる企業
GDPRが適用される3つのケース
GDPR(EU一般データ保護規則)が企業に適用されるケースは、拠点の有無だけでなく、事業活動が欧州経済領域(EEA)内の個人に及ぶかどうかで判断されます。これは「域外適用」と呼ばれる強力な原則に基づいています。
GDPRの適用対象となる3つの主要ケース
- EEA域内に拠点を有する場合:子会社、支店、営業所などの拠点の活動に関連して個人データを取り扱うケースです。データの処理がEEA域外で行われる場合でも適用対象となります。
- EEA域内の個人に商品やサービスを提供する場合:EEAに拠点がない企業でも、現地の言語や通貨で取引を行うなど、EEA内の個人を対象に事業を展開しているケースです。サービスの提供が有償か無償かは問いません。
- EEA域内の個人の行動を監視する場合:ウェブサイトの閲覧履歴の追跡やクッキーを用いたターゲティング広告など、個人の行動や嗜好を分析・予測する目的でデータを取り扱うケースです。
したがって、日本企業もEEAに物理的な拠点がないからといって安心はできず、自社の事業がEEA内の個人と接点を持つ場合は、GDPRの適用対象となる可能性を常に考慮する必要があります。
日本企業が特に注意すべき点
日本企業は、国内の個人情報保護法を遵守しているだけではGDPRの要件を満たせないため、グローバルな事業活動において意図せずGDPR違反となるリスクに注意が必要です。特に、オンラインでの事業展開が一般化した現代では、知らずにEEA居住者の個人データを取得・処理してしまう可能性があります。
日本企業が特に留意すべきGDPRのポイント
- オンライン識別子の取り扱い:日本の法律では単体で個人情報とみなされないことがあるクッキーやIPアドレスも、GDPRでは個人データとして厳格な保護対象となります。
- データ処理の委託関係における責任:EEAの企業からデータ処理を受託した場合、日本の企業は「処理者」としてGDPRの義務を負います。侵害発生時には、委託元である「管理者」への迅速な報告が求められます。
- 従業員データの国際移転:EEA拠点に勤務する従業員の個人データを日本の本社へ移転する際もGDPRの規制対象となり、適切なデータ保護措置が不可欠です。
顧客データだけでなく、オンラインでの取得データ、従業員データ、受託データなど、社内で取り扱うあらゆる個人データについてGDPR適用の可能性を精査し、対応の抜け漏れを防ぐことが重要です。
データ侵害報告の全体像
報告義務の起点となる「個人データ侵害」
GDPRにおける報告義務の起点となる「個人データ侵害」とは、セキュリティ侵害により、取り扱っている個人データが偶発的または違法に破壊、喪失、改変、不正に開示またはアクセスされる事態を指します。この定義は、単なる情報漏えいだけでなく、データの機密性、完全性、可用性が損なわれる幅広い事象を対象としています。
個人データ侵害が包含する3つの側面
- 機密性の侵害:不正アクセスによる情報窃取や、従業員による顧客データを含むメールの誤送信など、権限のない第三者にデータが開示されるケース。
- 完全性の侵害:サイバー攻撃によりデータベース内の個人情報が不正に書き換えられたり、改ざんされたりするなど、データが不正確になるケース。
- 可用性の侵害:ランサムウェア攻撃でデータが暗号化され利用不能になる、あるいはシステム障害でデータにアクセスできなくなるなど、データが必要な時に利用できないケース。
企業は外部への情報流出だけでなく、データの消失、改ざん、利用不可といった事態も個人データ侵害と捉え、これらを迅速に検知できる体制を構築する必要があります。
2つの報告ルート:監督当局と本人
個人データ侵害が発生した場合、企業は原則として「監督当局への報告」と「データ主体(本人)への通知」という2つのルートで対応する義務を負います。これらは目的と発動条件が異なるため、的確な判断が求められます。
| 項目 | 監督当局への報告 | データ主体(本人)への通知 |
|---|---|---|
| 目的 | 規制当局による事案の把握と監督 | 個人が自衛措置を講じられるようにするため |
| 発動条件 | 個人の権利自由にリスクを生じさせるおそれがある場合(原則として全ての侵害) | 個人の権利自由に高いリスクを生じさせるおそれがある場合 |
| 主な例外 | リスクがないと証明できる場合(例:解読不能な暗号化データ) | 高いリスクがない、または事後措置でリスクが排除された場合など |
侵害を検知した企業は、直ちにその影響を評価し、監督当局への報告のみでよいか、本人への通知も必要かを判断し、それぞれの要件に従って対応を進めなければなりません。
日本の個人情報保護法との関係性
GDPRと日本の個人情報保護法は、共にデータ侵害時の報告を義務付けていますが、その対象や期限などの具体的な要件には重要な違いがあります。グローバルに事業を行う企業は、両方の法律が同時に適用される事態を想定し、より厳格な基準に合わせた対応プロセスを整備しておくことが不可欠です。
| 項目 | GDPR | 日本の個人情報保護法 |
|---|---|---|
| 報告対象の判断基準 | 個人の権利自由へのリスクの有無という包括的な基準で判断 | 特定の類型(要配慮個人情報、財産的被害のおそれ、1,000人超など)に該当する場合 |
| 報告期限 | 侵害を認知してから原則72時間以内という明確な時間制限 | 事態を知った後、速やかに(速報は3~5日以内が目安) |
| 委託先での発生時 | 処理者(委託先)は管理者(委託元)へ通知し、最終的な報告責任は管理者が負う | 委託先は委託元へ通知すればよく、報告義務は個人情報取扱事業者である委託元が負う |
両法制は独立しているため、日本の法律に従った対応だけではGDPRの要件を満たせない可能性があります。企業は、侵害発生時に双方の基準に照らして対応を決定する必要があります。
監督当局への報告義務
原則72時間以内の報告期限
GDPRは、管理者が個人データ侵害を認識してから原則として72時間以内に、管轄の監督当局へ報告することを義務付けています。この短い期限は、当局が迅速に事態を把握し、被害拡大を防ぐための介入を可能にすることを目的としています。
「侵害の認識」とは、侵害が発生したことについて合理的な確信を持った時点を指します。単なる疑いの段階ではなく、調査によって侵害の事実が裏付けられた時点からカウントが開始されます。この72時間には休日や深夜も含まれるため、週末に侵害が発覚した場合でも猶予はありません。
もし期限内に全ての詳細が判明しない場合でも、まずは判明している情報だけで初期報告を行い、その後、調査の進展に応じて段階的に追加報告を行うことが認められています。初動の速さが極めて重要です。
報告に含めるべき主な内容
監督当局への報告は、事案の全体像を正確に伝えるため、GDPRが定める事項を網羅する必要があります。当局はこの情報をもとに事案の深刻度を評価し、追加の措置を指示するかどうかを判断します。
監督当局への報告に含めるべき主な情報
- 個人データ侵害の性質:侵害の原因、影響を受けたデータ主体の種類とおおよその人数、侵害された個人データの種類とおおよその件数を記載します。
- データ保護オフィサー(DPO)等の連絡先:当局が追加情報を得るための窓口となる担当者の氏名と連絡先を明記します。
- 予測される影響:侵害の結果としてデータ主体に生じうる、なりすましや金銭的被害といった影響について記述します。
- 講じた、または講じる予定の措置:侵害に対処し、悪影響を軽減するために企業が実施した、あるいは計画している対策(例:システムの遮断、パスワードのリセットなど)を説明します。
有事に混乱しないよう、これらの情報を整理できる報告テンプレートを事前に準備しておくことが推奨されます。
報告先となる監督当局の特定方法
GDPRの報告先となる監督当局は、企業の拠点所在地や事業形態によって異なります。特に複数の国にまたがるデータ処理を行う場合、「ワンストップショップ」という仕組みにより、報告先が単一の「主監督当局」に集約されることがあります。
報告先監督当局の特定ルール
- EEA内に主たる拠点がある場合:企業の中心的管理機能を持つ拠点が所在する国の監督当局が「主監督当局」となり、報告先はその一機関に限定されます。
- EEA内に拠点がない場合:ワンストップショップは適用されません。影響を受けたデータ主体が居住している各加盟国の監督当局に対し、個別に報告を行う必要があります。
特にEEA内に拠点を持たない日本企業は、複数の監督当局へ報告する負担が生じる可能性があるため、自社の顧客がどの国に分布しているかを平時から把握し、報告先のリストを準備しておくことが重要です。
見落とされがちな侵害に関する記録・文書化義務
GDPRは、監督当局への報告義務の有無にかかわらず、発生した全ての個人データ侵害について、その事実、影響、講じた措置などを社内で記録し、文書化することを義務付けています。
この記録は、企業がデータ保護に対する説明責任を果たすための重要な証拠となります。監督当局から調査を受けた際に、企業が法令に従って適切にリスクを評価し、妥当な対応をとったことを証明する根拠となるのです。
たとえ個人の権利へのリスクが低いと判断して監督当局への報告を見送った事案であっても、記録・文書化の義務は免除されません。なぜ報告不要と判断したのか、その合理的な理由も併せて記録しておく必要があります。この義務を怠ると、それ自体がGDPR違反となるため注意が必要です。
データ主体(本人)への通知義務
本人への通知が必要となる条件
データ主体(本人)への通知は、個人データ侵害が個人の権利および自由に「高いリスク」を発生させるおそれがあると判断される場合に義務付けられます。これは、監督当局への報告基準である「リスク」よりも一段階高い基準であり、個人が自らを守るための行動をただちに起こす必要があるような、深刻な影響が想定される状況を指します。
高いリスクの有無は、侵害されたデータの種類(例:クレジットカード番号、健康情報、パスワード)、侵害の態様、個人に及ぼす影響の深刻度などを総合的に考慮して判断されます。例えば、なりすましによる金銭的被害や、差別につながるような機微な情報の漏えいは、高いリスクに該当する可能性が高いといえます。
通知に含めるべき事項
本人への通知は、専門用語を避け、明確かつ平易な言葉で行う必要があります。その目的は、影響を受けた個人が状況を正確に理解し、被害を最小限に抑えるための行動を取れるように支援することです。
本人への通知に含めるべき主な事項
- 侵害の性質の説明:どのようなデータが、いつ、どのように侵害されたかという事実関係を簡潔に伝えます。
- 問合せ先の連絡先:データ保護オフィサー(DPO)や専用窓口など、追加情報を提供できる担当者の連絡先を明記します。
- 侵害によって予測される結果:個人にどのような不利益が生じる可能性があるかを具体的に説明します。
- 推奨される自己防衛策:個人自身が被害を防ぐために取るべき行動(例:パスワードの即時変更、クレジットカード利用明細の確認)を具体的に提示します。
単なる事実報告に留まらず、影響を受ける個人に寄り添い、具体的で実践的なアドバイスを提供する危機管理コミュニケーションとして位置づけることが重要です。
通知が不要となる例外ケース
個人データ侵害が高いリスクを引き起こすおそれがある場合でも、特定の条件を満たす場合は、例外的に本人への通知義務が免除されます。ただし、これらの例外を適用するには、企業側でその条件を満たしていることを客観的に証明する必要があります。
本人への通知が免除される例外ケース
- データが暗号化されている場合:侵害されたデータが強力な暗号化などの技術的保護措置で保護されており、第三者が内容を解読不能な状態である場合。
- 事後措置によりリスクが排除された場合:侵害発生後、企業が迅速な対応をとった結果、高いリスクがもはや現実化する可能性がなくなったと証明できる場合。
- 個別通知に不均衡な労力を要する場合:対象者が膨大で個別の連絡が極めて困難な場合。ただし、この場合はウェブサイトでの告知など、同等の効果を持つ代替措置を講じる必要があります。
これらの例外規定を安易に適用することは避け、判断に迷う場合は監督当局に相談することも検討すべきです。
報告・通知義務違反のリスク
高額な制裁金の内容
GDPRの報告・通知義務に違反した場合、企業は事業の根幹を揺るがしかねない高額な制裁金を科されるリスクがあります。制裁金は企業の経済規模に応じて算定されるため、グローバル企業にとっては巨額の負担となる可能性があります。
制裁金の上限額は、違反の性質に応じて2つの段階に分かれています。
| 違反の種類 | 上限額(いずれか高い方) |
|---|---|
| 報告・通知義務、記録化義務などの手続的規定の違反 | 1,000万ユーロ または 全世界年間売上高の2% |
| データ処理の基本原則(適法性、安全性など)の違反 | 2,000万ユーロ または 全世界年間売上高の4% |
報告遅延などの手続違反が、データ保護体制の不備といった、より根本的な原則違反と合わせて指摘された場合、さらに重い制裁が科される可能性があります。手続上のミスが巨額の制裁金の引き金となりうることを認識する必要があります。
制裁金判断で考慮される要素
監督当局が制裁金の有無や金額を決定する際には、画一的な基準ではなく、事案の状況や企業の対応姿勢など、複数の要素が総合的に考慮されます。これは、制裁が個別の事案ごとに効果的、比例的、かつ抑止力のあるものとなるよう調整されるためです。
制裁金額の判断で考慮される主な要素
- 違反の性質、重大性、期間:影響を受けた人数や損害の程度など、被害の規模が重視されます。
- 故意か過失か:違反が意図的であったか、単なる不注意によるものかが考慮されます。
- 被害軽減のための措置:企業が侵害発覚後に被害を最小化するために自主的に講じた対策は、有利な情状として評価されます。
- 監督当局への協力姿勢:当局への迅速な報告や調査への誠実な協力は、制裁を軽減する上で非常に重要です。逆に隠蔽や非協力的な態度は、制裁を加重させる要因となります。
- 過去の違反歴:企業が以前にも同様の違反を犯していないかが評価されます。
万が一侵害が発生しても、誠実かつ迅速な対応と当局への協力姿勢を示すことが、最終的なリスクを最小限に抑える鍵となります。
日本企業が構築すべき対応体制
インシデント検知・評価プロセスの整備
GDPRの厳格な報告要件に対応するには、個人データ侵害につながるインシデントを早期に検知し、報告要否を迅速に評価・判断するための社内プロセスを確立することが不可欠です。72時間という報告期限はインシデントの認知時点から始まるため、初動の遅れは致命的です。
プロセス整備には、システム上の異常を監視する技術的対策と、従業員がミスを報告しやすい組織的対策の両方が必要です。検知されたインシデントは、セキュリティ、法務、コンプライアンスなどの関連部署が連携し、あらかじめ定めた基準に沿ってGDPRの報告対象となるかを迅速に評価する仕組みを構築します。この評価プロセスには、欧州居住者のデータが含まれるか、個人の権利自由へのリスクはどの程度か、といった判断基準を明確にしておくことが求められます。
報告手順と責任者の明確化
インシデント発生という混乱した状況下で、GDPRの要求する手順を間違いなく実行するためには、平時から報告手順と責任体制を明確化しておくことが極めて重要です。誰が、いつ、何を行うのかを事前に定めておくことで、対応の遅延や不備を防ぎます。
報告体制の構築におけるポイント
- 社内エスカレーションルートの確立:発見者から担当部署、経営層への報告ルートをフローチャートなどで可視化します。
- 責任者と役割分担の指定:データ保護オフィサー(DPO)などを中心に、情報集約、意思決定、実務対応の責任者を定めます。
- 報告書作成・承認プロセスの定義:誰が報告書の草案を作成し、誰が内容をレビューし、最終的に誰が承認するのかを明確にします。
- 対応マニュアルの整備:報告先となる監督当局のリスト、報告フォームの様式、連絡先などをまとめた実践的なマニュアルを準備し、定期的に訓練を行います。
72時間以内の報告に向けた初動対応と情報収集
72時間という極めて短い時間内に報告を完了させるには、初動対応において、報告に必要な情報を効率的に収集する現実的なアプローチが求められます。発生直後に原因や被害の全容を完璧に把握することは困難なため、段階的な報告を前提とした対応が必要です。
初動では、まず被害拡大防止措置を最優先で講じると同時に、報告に必要な情報の収集を開始します。この段階では、侵害されたデータの種類、影響を受けた人数の概算、講じた応急措置など、現時点で判明している事実をまとめることに注力します。72時間の期限が迫っても調査が完了しない場合は、不完全な情報であっても第一報を提出し、後日追加報告を行う旨を伝えるという判断が重要です。完璧な情報を待つのではなく、速度を優先することが期限遵守の鍵となります。
よくある質問
報告が72時間を超えた場合の対処法は?
万が一、報告が72時間を超えてしまった場合でも、報告義務がなくなるわけではありません。ただちに監督当局へ報告するとともに、遅延したことについての合理的な理由を付記して説明する必要があります。無報告のまま放置することは、意図的な隠蔽と見なされ、より重い制裁につながる可能性があります。遅延理由としては、複雑なサイバー攻撃の解析に時間を要したことなどを具体的に説明することが考えられます。
個人へのリスクがない軽微な侵害でも報告は必要?
個人データ侵害が発生しても、それが個人の権利および自由にリスクを発生させるおそれがないと合理的に判断できる場合は、監督当局への報告や本人への通知は不要です。例えば、解読不能な形で暗号化されたデータが入ったUSBメモリを紛失した場合などが該当します。ただし、報告が不要と判断した場合でも、そのインシデントの事実、影響、および報告不要と判断した根拠を社内で記録・文書化する義務は残るため、注意が必要です。
報告は日本語で行えますか?
いいえ、原則として日本語での報告は認められていません。報告は、報告先となる監督当局が指定する言語(通常は現地の公用語または英語)で行う必要があります。特にEEA内に拠点を持たない日本企業が複数の国に報告する場合、各国の言語に対応する必要が生じる可能性があります。緊急時に言語の壁で対応が遅れないよう、翻訳の専門家と連携できる体制を事前に整えておくことが重要です。
委託先で侵害が発生した場合、誰が報告義務を負いますか?
データ処理を外部に委託している場合、侵害が発生した際の最終的な報告・通知義務を負うのは、委託元である「管理者」です。委託先である「処理者」(クラウド事業者など)は、侵害を認識した後、不当な遅滞なく管理者にその事実を通知する義務を負います。その通知を受けて、管理者が監督当局や本人への報告・通知の責任者として対応を進めることになります。したがって、委託元企業は、委託先との契約で侵害発生時の即時報告を義務付けるなど、有事に備えた連携体制を構築しておく必要があります。
まとめ:GDPRのデータ侵害報告義務を理解し、有事のリスクに備える
GDPRにおける個人データ侵害への対応は、原則72時間以内の監督当局への報告と、高いリスクがある場合の本人への通知が義務付けられています。これは日本の個人情報保護法よりも厳格な要件であり、両方の法律が適用される可能性を念頭に、より厳しい基準での対応プロセスを構築することが重要です。 万が一の事態に備え、自社がGDPRの適用対象となるかを再確認し、インシデントを迅速に検知・評価し、責任者へ報告する社内体制が整備されているかを見直すことが最初のステップとなります。特に、報告先の監督当局の特定や、委託先で侵害が発生した場合の責任分界点は複雑なため、注意が必要です。本記事で解説した内容は一般的な情報であり、個別の事案における具体的な法的判断については、必ず弁護士などの専門家に相談してください。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
