- 2020年7月7日
GDPRにおいて、管理者は、個人の権利侵害のおそれがある場合、その侵害を認識してからできるだけ速く、遅くとも72時間以内に管轄する国の監督当局に個人データの侵害を通知しなければなりません。ただし、個人データの侵害になる可能性が低い場合はこの限りではありません(GDPR33条第1項及び第3項)。
この72時間以内の報告を行う又は行わないという重要な判断について、個人データ侵害の第一報を東京にある会社が受けた場合を想定し、事前準備「体制」だけではなく、電話やオンラインでの報告対応も含めて実際に行動できるようにしておくこと、すなわち「運用」がいかに大切か、想定シナリオで考えていきます。
1. シナリオ
ある日の夕方、英国 ロンドンにある欧州子会社から東京本社のDPOとGDPR対応関係者に、お客様の個人情報が漏洩しているおそれがあるとの連絡が、インシデント受付専用メールアドレスに送られてきました。東京本社のグローバルのプライバシー保護事務局担当者であるコンプライアンス課長は、対応ルールに従い、至急プライバシー保護事務局責任者のコンプライアンス部長に報告すると同時に、社内他部署のプライバシー保護担当者、欧州担当者、IT担当者との対応の会議を開催しました。
対応会議では、コンプライアンス部長出席の下、当該子会社から送られてきた社内のテンプレートを用いた第一報の内容について、各担当者からのコメントや質問が集約されました。外部の専門家とも連携し、2-3日の間に必要な行動について、計画案を策定しました。
東京はすでに深夜でしたが、欧州時間の夕方に開催した欧州子会社と本社のインシデント対応関係者とのTV会議で、事態の確認、セキュリティ侵害の状況のヒアリングを行い、集約されたコメントや質問が共有され、さらに侵害による拡大を防ぐための応急措置が示されました。また、東京で策定された計画案の修正を行いました。
それを受け、当該子会社はインシデントの状況確認作業及び応急措置を開始し、インシデント受付専用メールアドレスにより、インシデントが終結するまで継続して状況報告することになりました。また、状況次第ではあるものの、2-3日の間は、インシデントに進展がない場合でも、東京の夕方の時間にTV会議システムでの協議も設定されました。ここまでの経緯は、コンプライアンス部長からコンプライアンス担当役員に報告・協議され、他の経営陣にも報告されました。
様々な経緯を経て、東京本社は最終的に、個人データの侵害により顧客の個人の権利又は自由に対するリスクがあると判断し、当該子会社を管轄する国の監督当局に個人データの侵害報告をする旨の社内での了承の下、当局の定める方法・様式により、72時間以内に報告がオンラインでなされました。
個人に人権侵害の可能性がない場合を除き、侵害に関係する個人に侵害に関する通知が必要であるとの共通認識のもと、DPOを窓口とし、監督当局とも連携を行いながら、関係する個人への報告や対応が今も続けられています。
2. シナリオから見えてくるもの
シナリオは典型的な個人データ侵害対応の概略を示したものですが、現実の対応はケースに大きく左右されます。実際には、侵害発生認知後72時間以内という時間的制約のもと、監督当局への報告を行う又は行わないという判断について、かなり切迫した対応が求められてきます。時間的制約に対応するためには、事前の準備が極めて重要です。
事前準備の際のいくつかの留意点をシナリオから見ていきます。
(1)体制面
① 体制づくりとして、本社と欧州子会社間の役割を明確にします。個人データ侵害の情報に接した場合、情報のエスカレーション(欧州子会社から本社、本社から欧州子会社への報告など)のプロセス、対当局への報告の判断基準、その判断者や承認者など決定権限などを定めます。
② 本社におけるプライバシー保護担当者を関連する部門毎に任命します。コンプライアンス部門、IT部門、海外事業を管轄する部門のみならず、対外的にマスコミや株主などに対応する広報/IR部門、制裁金処理を行う財務経理部門など、社内横断的に対応できるようにし、個人データ侵害発生時には、シナリオにあるようにデータの共有サーバの使用やインシデント専門のメールアドレスにより情報を共有し、インシデント後速やかに立ち上げる緊急対策本部で対応します。また、緊急時に備えて各責任者の電話番号などをあらかじめ共有することは必要です。個人データ侵害対応の社内のやり取りは、監督当局対応の説明資料として、電子データ又は紙媒体に残すようにします。
③ グループとして対応に臨むため、本社経営陣と必要な情報が共有されるための対応を定めます。特に制裁金が課せられる場合、レピュテーションリスク対応、財務への影響、株主総会での質問への説明、訴訟など、経営上の対応が求められることが想定されるからです。
(2)運用面
(1)で示した体制を有効に機能させることが大切です。
① 体制面の①について、体制づくりが終了したのち、定期的に机上訓練を実施することが有効です。個人データ侵害発生のさまざまなケースを事前に想定し、欧州子会社の担当者とプライバシー保護事務局担当者が中心となり、社内規程やルールに則して対応訓練します。それにより、侵害発生への対応プロセスへの習熟度が上がり、また、プロセスの改善点の発見にもつながっていきます。
② 体制面の②についても、国内又は欧州子会社を含めた机上訓練は、横断的な組織対応力の向上にも役立ちます。また、各部門、欧州子会社が関連する個人データ処理行為および個人データ保護違反の情報を会議体で共有することで、関係者間の意思疎通や、会議体でのボトムアップの意思決定を図れるほか、GDPR対応を最新のものにすることができます。欧州子会社との意思疎通は極めて大切な要素であり、気軽に本社に相談できる体制を維持することは、欧州子会社が案件を本社に報告せずに抱え込んでしまうといったリスクの低減に役立ちます。
③ 体制面の③については、情報の共有がまず大切になります。それにより、経営陣の理解と認識を得てGDPR対応施策を推し進めていくことができるようになります。また、グループ全体で真摯に取り組んでいく姿勢は、内外に対する企業イメージ向上の点で極めて重要となります。例えば、個人データ侵害の報告を受けた監督当局に、自社がコンプライアンスを重視する企業文化や自浄作用を持つ企業であることを理解してもらうことは、個人データ侵害にかかる説明責任を果たしていく際に、監督当局の良好な心証形成にプラスに働くと思われます。さらに、個人データ侵害対応に限らず、GDPR対応に関する情報共有、関連する法令への対応などについて、欧州子会社と定期的に協議を行うことで、なお一層のコンプライアンス重視の企業文化が醸成されます。また、書記を決めて記録を保存するなど、運営を適切に行うことで、実態のある会議にする必要があります。
3. 監督当局への報告の準備
データ侵害が発生した場合、欧州子会社は監督当局へ報告することになります。各監督当局はEU(ヨーロッパ連合)の法律やガイドライン等により報告内容・方法等を定めており、事前にそれを熟知しておくことで、報告書作成などで迅速な対応が可能となり、有効的に時間を使えることになります。
例えば、シナリオで取り上げた英国では、監督当局ICO(Information Commissioner’s Office)があり、電話やオンラインで報告の受付を行っています。
https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/
また、個人データ侵害の例も示されており参考になります。
https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/personal-data-breach-examples/
今回は英国 ロンドンでのインシデントを例にとりましたが、2020年12月末に英国は移行期間を経て正式にEUから離脱します。英国での対応は当面従来のGDPRと同じですが、2021年1月以降、本稿は例えばドイツやフランスと読み替えて想像して頂ければ幸いです。
執筆:勝見 則之(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp
