【データ法】個人データ侵害 ー英国子会社で情報インシデントが起きたときの対応ー
こんにちは。
お読みいただきありがとうございます。
以前、UK GDPRについてご紹介し、GDPRとほぼ同じ内容であることを書かせて頂きました。
今回は、英国子会社で情報漏洩などのインシデントが起こった場合に、UK GDPRに基づき当該子会社に求められる対応について、簡単にご紹介したいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
Personal data breachとは?
UK GDPRの下で個人データの管理者に一定のアクションが求められることとなる、情報インシデントです。Art 4(12)で定義されています。
日本の個人情報保護委員会の対訳によれば、このように表現されています。
せっかく個情委が和訳の定義を付けてくれているので、以下では、「Personal data breach」又は「個人データ侵害」と表現します。
Personal data breachの例は?
条文はいつも抽象的です。
上記の定義だけを読んでも、イメージがつきませんよね。では、一体どういうインシデントが個人データ侵害に当たるのでしょうか。
イギリスのデータ保護当局であるICOがこちらで挙げている例を参考にすると、次のようなものが考えられます。
Personal data breachが起こった場合どうすればいいのか?
ICOへの通知
UK GDPRは、Art 33(1)において、次のように定めています(太字はぼく)。
つまり、個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれが無い場合を除き、原則として、侵害に気づいたときから72時間以内に、ICOに通知しなければなりません。
結構タイトです。金曜日の夕方に起こったら悲惨ですよね。
データ主体への連絡
加えて、Art 34(1)は、次のように定めています(太字はぼく)。
つまり、自然人の権利・自由に高いリスクを発生させる可能性がある場合、遅滞なく、その個人データ侵害を連絡しなければなりません。
「without undue delay」とだけ書かれており、具体的な期限が書いていないところがミソです。
これはぼくの私見ですが、類似の個人データ侵害に対する適切な措置を実施する必要がある場合には、連絡に時間をかけることが正当化される場合があるのではないかと思います。
また、「EU GDPRのガイドラインによれば、データ主体への連絡は、通常、当局の助言に従って行われることが想定されている」という意見もあるようです(*1)。
いずれにしても、まずICOへの通知を検討するのが重要という点は、多くの専門家の考えではないかと思います。
personal data breachへの対応は3パターンに分けられる
ここまで注意深く読んで頂いた方には、personal data breachと一言にいっても自然人の権利・自由へのリスクに応じて3パターンの対応があることに気づかれると思います。
自然人の権利・自由へのリスクに応じて、次のように分けられます。
通知が不要な場合の対応
では、上記③の場合は、どうすればいいのでしょうか。
データ主体やICOへの通知は要りません。
ただし、インシデントの記録が必要です。
つまり、自然人への権利・自由へのリスクが無いという組織内の決定を文書化し、その決定を裏付ける関連証拠を保持しておくべきです。
まとめ
今回お伝えしたかったのは次のことです。
今は年の瀬なので、もし個人データ侵害が起こったら大変ですね。
ここまでお読みいただきありがとうございました。
英国の法律実務に携わる皆さまのご参考になればうれしいです。
【注釈】
*1 このように言っている資料(というかPLC Law)を見ましたが、WP29のガイドラインの記載の何処が該当箇所なのか、見つけられていません、、。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?