サイバーリスク: データ侵害の通知は必要なのか？

0.1% は多いのか少ないのか？

1月28日のデータ・プライバシー・デイ（Data Privacy Day）が近づくと、毎年、北米や欧州などの地域でプライバシーやデータ保護に関するイベントが多く開催されている。この時期、サイバーセキュリティ企業や法律事務所などからは、GDPR（EU一般データ保護規則）にまつわる報告書や動向の分析なども多く発行されている。

2021年のデータ・プライバシー・デイに合わせて、国際的な大手法律事務所が発行した報告書 ^*1 によると、GDPRに関連したデータ保護監督当局への通知は、GDPRが施行された2018年5月以降これまでにおよそ281,000件。

何故ならGDPRの第33条（監督期間に対する個人データ侵害の通知）において、以下のように定められているためだ。

1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。

　（個人情報保護委員会「一般データ保護規則 【条文】 仮日本語訳」^*2 より）

そして、およそ281,000件の通知のうち、およそ500件に対して制裁金が科された。実に0.1%の企業や組織に制裁金が科されたという計算だ。

ここで一つの疑問が、侵害に遭った企業担当者の頭をよぎる。

99.9%の企業や組織では、制裁金が科されていない。

すなわち、自らが侵害に遭った際には「はたして通知の必要があるのだろうか？」

実際、GDPRが適用される企業や組織において、データ侵害発覚直後の調査や復旧などで混乱している中、72時間以内に通知をする必要があるのかどうか、多くの担当者がその判断に頭を悩ませておられる場面を多く目にする。

協力的に応じる

99.9%でお咎めなしであるのなら、最初から通知する必要は無いのではないだろうか？　実際、データ保護監督当局には同様の問い合わせも一定数あるそうだ。

そのため、2021年1月にEDPB（European Data Protection Board：欧州データ保護会議）よりガイダンスが公表されている。このガイダンスについては後述するが、実際にGDPRの適用される企業ではどのような対応を取っているのか、特徴的な事例を二つほど見ていこう。

2018年に米ソーシャルメディアの Linkedin社に対して、同社の個人データ処理に関する苦情の申し立てが発生した。^*3当時、GDPR施行後初の米IT企業に対する制裁となるのではと注目された件だ。

尚、ここで一点留意していただきたい点は、同社でデータ侵害が発生したというわけではないということ。GDPRでは苦情の申し立てを起こす権利がデータ主体に認められており、それを行使してアイルランドの監督当局（DPC）に対し苦情の申し立てを起こされたという形だ。

同社ではこの苦情の申し立てに対して、原因となった個人データの処理を停止すると共に、GDPR施行前の個人データも削除するなど、いくつかの取り組みを実施した。また、技術的および組織的対応が講じられていることを検証するために、監督当局の監査も受け入れている。

このように同社では自発的に行動し、誠意ある対応を示したということで、制裁金などは科されていない。

次に、2019年に40万人以上の顧客に影響を与えるデータ侵害が発生した、英航空会社のブリティッシュ・エアウェイズを見ていこう。

同社に対して、2020年10月に英国の監督当局（ICO）より2,000万ポンド（およそ30億円）の制裁金が科されることが公表されている。^*4ただし、この制裁金額に対してはある要因が大きく作用し、600万ポンド（およそ9億円）もの制裁金減額がなされた後のものだ。

その決め手となった要因について説明する前に先にお伝えしておくと、新型コロナウイルスの感染拡大に伴う売上減を考慮したものではない。売上減を考慮して減額された制裁金はおよそ5％ほどである。

これだけ大きく制裁金が減額された要因は、影響を受けるデータ主体と監督当局に対して迅速に通知し、監督当局からの問い合わせに対して全面的に協力してきたことが評価されてのことである。

更に、データ主体に対しては被る損害を軽減および最小化するための措置も取っている。具体的には、カード情報窃取に伴う金銭的損失への補償や、無償での信用調査提供などである。また、同社による通知は114ページにも及ぶものであったが、72時間以内の通知を速やかに行うためにも日頃からの行動計画やトレーニングなどの備えがあったことも容易に想像がつく。

これら二つの事例から見えてくることは、監督当局に対して協力的に応じることができたかどうかということが結果に大きく左右してくるということである。そのため、監督当局への通知は速やかに行われるべきものである。

ただし、制裁金が科されなかった、もしくは制裁金が減額されたとは言え、影響を受けるデータ主体への対応や補償などには費用が発生している。

また、個人データの削除を行えば機会損失なども伴うことだろう。その影響は大きい。

通知に関するガイダンス

上で述べたとおり、2021年1月にEDPBよりデータ侵害通知に関するガイドラインのドラフトが公表されている^*5。このガイドラインでは、GDPR施行以降における監督当局の経験から、データ侵害のリスクに対応してデータ管理者が評価することを支援するということを目的としている。

その内容は、「ランサムウェア」「データ漏洩」「内部の人的リスク」「デバイスやドキュメントの紛失または盗難」「メール関連の違反」「ソーシャルエンジニアリング」の6つのテーマに分かれており、それぞれについて以下の内容を体型的に示している。

• 個人データを保護し、侵害を防ぐためにデータ管理者によって実施された措置
• 違反を取り巻く状況
• 上記の要因に基づく結果として生じるリスク
• データ管理者が実行する必要のある手順
• データ管理者のその後の義務

実際に、データ侵害の被害に遭われた場合の対応のガイダンスとしてだけでなく、平時におけるトレーニングなどの際にも、関心のあるテーマから参照して活用されてみられても良いだろう。

もしこれらの具体的な内容について解説して欲しいというご要望があれば、弊社までお問い合わせください。

ご要望が多い場合は、今後のニュースレターのどこかで、いくつかの事例を取り上げながら触れていきたい。

また、一部の監督当局では、組織がデータ侵害に関連するリスクを評価および認定することを支援するために、ガイダンスと指標を提供している。

ドイツの監督当局（DSK）からは、リスク評価の過程で組織が実行すべき様々な手順を説明したガイダンス ^*6 も提供されているため、必要に応じて参照されてみても良いだろう。

第一歩となることとは

「はたして通知の必要があるのだろうか？」

冒頭で提起した疑問に戻ろう。

GDPRの第33条に基づき、データ管理者は過度の遅延無しに72時間以内に監督当局への通知を行う必要がある。ここには、個人の権利と自由に対するリスクをもたらす可能性が低い場合も含まれている。

対照的に、GDPRの第34条（データ主体に対する個人データ侵害の連絡）においては、次のように記載されている。

1. 個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。

監督当局への通知について述べる第33条と、データ主体への通知について述べる第34条との大きな違い。

それは「自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合」かどうかということである。すなわち、監督当局に通知する基準は、影響を受ける個人に通知する基準よりも低いということになる。

そしてガイダンスでは、データ管理者（およびデータ処理者）に管轄の監督当局へできるだけ早く通知するように促している。

ここで留意していただきたい点は、「72時間以内に完全に評価された通知は期待していない」ということである。データ管理者には段階的な情報の提供と、最終的にはデータ侵害に対応するための包括的な計画と手順を求めている。

まずは通知することが第一歩というわけだ。

このように、データ侵害が発生した際の通知を求めているのは何もGDPRだけではない。

例えば、EECC（European Electronic Communications Code：電子通信ネットワークとサービスを規制するEU指令）^*7においても、セキュリティインシデントの通知を要求している。

更に、EECCではGDPRのワンストップショップの原則による恩恵は受けられないため、それぞれの監督当局に通知を行わなければならない。

自社の業務などによっては適用される法規制が更に加わる可能性があるため、事前にそれらを洗い出し、インシデント発生時の対応もあらかじめ整理しておかなかればならない。

また、米FDIC（Federal Deposit Insurance Corporation：連邦預金保険公社）では、対象となる金融機関に対して36時間以内での通知を要求する規則 ^*8 を提案している。

いずれにしても、GDPRで規定されている72時間という期限は、最低ラインであると考えておいたほうが良いだろう。

これからの季節、日本では異動や、新たな取引の開始などもある。

これを機に、いま一度プライバシーやデータ保護について見直す機会とされたい。

出典

^*1 https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/

^*2 https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

^*3 https://jp.reuters.com/article/idJP00093300_20190204_00320190204

^*4 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

^*5 https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en

^*6 https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf

^*7 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L1972&from=EN

^*8 https://www.fdic.gov/news/board/2020/2020-12-15-notice-sum-c-fr.pdf