【ICO】データ侵害事故の報告に関する正しい理解を


英国データ保護監督機関ICO(Information Commissioner’s Office)のトップ、Elisabeth Denham氏が続けている、GDPRに関する誤解を正す連続ブログ(Myth-busting blog)の最新編が5日公開された。今回はデータ侵害事故の報告義務がテーマだ。その概要は以下の通り。

【データ侵害事故はすべてICOに報告する必要があるのか】
データ侵害事故を報告する必要があるのは、データ主体の権利及び自由にリスクを及ぼす可能性が高い場合である。報告が必要かどうかの基準はデータ主体に及ぼすリスクの大きさである。ICOが公表したガイダンスでは、データ主体が差別、評判の毀損、金銭的被害など重大な経済的・社会的不利益を被る可能性がある場合はリスクが高い状況である可能性が高いと指摘した。

【データ侵害事故についてはただちにすべての詳細を報告する必要がある】
ICOがデータ侵害事故の第一報として期待してるのは、事故の影響が及ぶ可能性がある範囲、事故の原因、想定している影響緩和策、問題解決の計画などである。

【72時間以内に報告できなければ巨額の制裁金が課せられる】
データ主体がリスクにさらされている状況においても法令遵守努力を怠っている組織、法令をまったく無視している組織には制裁金が課せられる。オープンで正直な態度で遅滞なく事故報告を行い、透明性の原則にしたがって行動している場合には、制裁金は回避できる可能性がある。

【データ侵害事故の報告は制裁が目的である】
データ侵害事故報告義務の第一の目的は制裁ではなく、組織がセキュリティの危険性に対して適切に対処する準備をとらせることにある。公的機関がデータ侵害事故、その傾向、パターン、関連テクノロジーに関して情報収集・分析を行っていることにより、人々に信頼感を与えることが重要だ。これにより現在及び将来の事故対処を支援することになる。

ICOは現在、他のEU加盟国データ保護監督機関とともに29条データ保護作業部会の一員として、データ侵害事故の報告が必要とされる基準、報告義務を果たすための対策についてのガイドラインを作成する作業に当たっている。このガイドラインが公表されるまで、当面、組織内で役割分担、責任分担、侵害事故発生時の業務プロセスを明確化すべきである。

ICOは数ヶ月以内にデータ侵害事故を報告するための電話サービスを開始し、事故発生時の第一報を入れるとともに善後策のアドバイスを受けられる体制を整備するつもりである。

https://iconewsblog.org.uk/2017/09/05/gdpr-setting-the-record-straight-on-data-breach-reporting/(リンク切れ)

関連記事