データ侵害通知の遅れについてスウェーデン監督機関が制裁金


スウェーデン監督機関Datainspektionenは、個人データ侵害の発生を監督機関及び関係する個人に通知するのが遅れたことについて、国家サービスセンターに対し、GDPR第33条第1項違反(データ侵害の監督機関への通知)として15万スウェーデン・クローナ、GDPR第33条第2項(処理者の管理者に対するデータ通知義務)違反として5万スウェーデン・クローナ、計20万スウェーデンクローナの制裁金処分を下した。

侵害通知の遅れの経緯

国家サービスセンター(SSC)は、スウェーデンの行政機関に対し、個人データを含む情報処理サービスを提供する機関である。SSCは人事管理システム「Primula」を利用する国内47の行政機関(個人データの管理者)に、個人データを含むシステムの運用支援などを提供する処理者であるとともに、SSCで勤務する職員の個人データの管理者であった。また、47の行政機関の個人データ処理者としてEVRY社を採用していた。つまりSSCは①SSC自身が管理者、②Primulaを使用する行政機関に対して処理者、③外部委託先であるEVRY社に対して管理者、という立場にあった。

2020年3月28日、Primulaを通じてSSC職員の個人データが他の機関からアクセスできるという通知を受け取った。機関をまたいで個人データにアクセスがあった期間は2020年3月14日から5月30日までであり、SSCは5月24日に事件を警察に通知した。

SSCから監督機関への通知は6月28日に行われたが、この時点でデータ侵害が発生してから約3ヶ月が経過しており、管理者である行政機関への通知までの時間がかかりすぎていると判断された。また、SSCの管理者である行政機関へのデータ侵害通知は8月12日であり、データ侵害発生から約半年経過していた。これらがGDPR第33条各項の通知義務違反とされた。

データ侵害の対象となった個人データには社会保障番号、名前、性別、住所、財務状況、労働条件等のデータが含まれ、特に社会保障番号は強力な機密性で保護されるべきデータであると、スウェーデン国内法(公共および機密保持法)で規定されている。そのため、データ主体に及ぼすリスクの高いインシデントであったにもかかわらず、適時の通知がなされていなかったことが問題視された。

侵害通知が遅れた理由と監督機関の判断

監督機関と行政機関への侵害発生通知が遅れたことについて、SSCは3月29日に南部のインシデントレポートを作成していたものの、①サービスセンターがインシデントを十分に迅速に調査しなかったこと、②インシデントを調整された方法で処理するための明確で文書化された手順が欠如していたこと、③SSCが通知の前に必要なセキュリティ対策が講じられていることを確認する必要があると判断したこと、を理由とした。この説明に対し監督機関は、機密データが侵害の範囲に含まれたと認知したことで、データ主体に対する侵害リスクが高いということをSSCは認識できていたとし、管理者たる行政機関への通知の遅れについて、侵害リスクの評価責任は管理者である行政機関が行うべきであるとして、SSCの主張を退けた。

本処分の評価

GDPRは、データ侵害発生において、管理者は原則として72時間以内の監督機関への発生通知を義務として定めている。また、処理者は管理者に対し、管理者が求める技術的・組織的安全確保義務を履行するとともに、データ侵害の発生を速やかに通知するとしている。データ主体に対するリスクが小さいものについてはその限りではないとしているものの、本事案はデータ主体に与えるリスクが高いと評価されるものであるため、侵害通知の遅れは管理者および処理者として悪質な怠慢であると判断されたといえる。

データ侵害が発生した場合、その事実を監督機関や関係者に通知することを躊躇するのは望ましくない姿勢である。監督機関や関係者と緊密に連携し、データ侵害に真摯に対応することを第一とすることが重要である。

スウェーデン監督機関による処分のリリース
https://www.datainspektionen.se/nyheter/datainspektionen-utfardar-sanktionsavgift-mot-statens-servicecenter/ (スウェーデン語)
https://www.datainspektionen.se/nyheter/the-swedish-data-protection-authority-issues-fine-against-the-national-government-service-centre/ (英語)

関連記事