【データ法】個人データ侵害 ー英国子会社で情報インシデントが起きたときの対応ー
こんにちは。
お読みいただきありがとうございます。
以前、UK GDPRについてご紹介し、GDPRとほぼ同じ内容であることを書かせて頂きました。
今回は、英国子会社で情報漏洩などのインシデントが起こった場合に、UK GDPRに基づき当該子会社に求められる対応について、簡単にご紹介したいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
Personal data breachとは?
UK GDPRの下で個人データの管理者に一定のアクションが求められることとなる、情報インシデントです。Art 4(12)で定義されています。
‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.
日本の個人情報保護委員会の対訳によれば、このように表現されています。
「個人データ侵害」とは、偶発的又は違法な、破壊、喪失、改変、無権限の開示又は無権限のアクセスを導くような、送信され、記録保存され、又は、その他の取扱いが行われる個人データの安全性に対する侵害を意味する。
せっかく個情委が和訳の定義を付けてくれているので、以下では、「Personal data breach」又は「個人データ侵害」と表現します。
Personal data breachの例は?
条文はいつも抽象的です。
上記の定義だけを読んでも、イメージがつきませんよね。では、一体どういうインシデントが個人データ侵害に当たるのでしょうか。
イギリスのデータ保護当局であるICOがこちらで挙げている例を参考にすると、次のようなものが考えられます。
事例①:ある機関が、養父母の氏名と住所を削除することなく、実父母に書類を送ってしまった。
事例②:ある破産管財人が、精神疾患のある破産者のファイルを誤って別の部署の同僚に電子メールで送信した。
事例③:ある営業担当者が、顧客の健康データの入ったノートパソコンを紛失してしまった。
事例④:あるデリバリー業者が、患者Aに配達すべき薬を、誤って患者Bに配達した。
事例⑤:ある法律事務所の事務員が、フィッシング詐欺に遭い、所内システムのログイン情報を第三者に渡してしまった。
Personal data breachが起こった場合どうすればいいのか?
ICOへの通知
UK GDPRは、Art 33(1)において、次のように定めています(太字はぼく)。
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
つまり、個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれが無い場合を除き、原則として、侵害に気づいたときから72時間以内に、ICOに通知しなければなりません。
結構タイトです。金曜日の夕方に起こったら悲惨ですよね。
データ主体への連絡
加えて、Art 34(1)は、次のように定めています(太字はぼく)。
When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.
つまり、自然人の権利・自由に高いリスクを発生させる可能性がある場合、遅滞なく、その個人データ侵害を連絡しなければなりません。
「without undue delay」とだけ書かれており、具体的な期限が書いていないところがミソです。
これはぼくの私見ですが、類似の個人データ侵害に対する適切な措置を実施する必要がある場合には、連絡に時間をかけることが正当化される場合があるのではないかと思います。
また、「EU GDPRのガイドラインによれば、データ主体への連絡は、通常、当局の助言に従って行われることが想定されている」という意見もあるようです(*1)。
いずれにしても、まずICOへの通知を検討するのが重要という点は、多くの専門家の考えではないかと思います。
personal data breachへの対応は3パターンに分けられる
ここまで注意深く読んで頂いた方には、personal data breachと一言にいっても自然人の権利・自由へのリスクに応じて3パターンの対応があることに気づかれると思います。
自然人の権利・自由へのリスクに応じて、次のように分けられます。
① リスクが高い:データ主体+ICOに通知
② リスクがある:ICOに通知
③ リスクがない:通知不要
通知が不要な場合の対応
では、上記③の場合は、どうすればいいのでしょうか。
データ主体やICOへの通知は要りません。
ただし、インシデントの記録が必要です。
つまり、自然人への権利・自由へのリスクが無いという組織内の決定を文書化し、その決定を裏付ける関連証拠を保持しておくべきです。
まとめ
今回お伝えしたかったのは次のことです。
Personal data breachを検知したら、72時間以内に、ICOへの報告を検討!
今は年の瀬なので、もし個人データ侵害が起こったら大変ですね。
ここまでお読みいただきありがとうございました。
英国の法律実務に携わる皆さまのご参考になればうれしいです。
【注釈】
*1 このように言っている資料(というかPLC Law)を見ましたが、WP29のガイドラインの記載の何処が該当箇所なのか、見つけられていません、、。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?