【データ法】英国におけるインシデント報告義務 ーいつ、どこに報告すべきか?ー
こんにちは。
お読みいただきありがとうございます。
以前、情報インシデントが起こった際に、UK GDPR上求められている報告義務について書きました。
ただ、インシデントにより生じる影響は、個人データの漏洩や滅失等に伴うデータ主体への権利侵害に限られない場合がほとんどです。会社の機密情報の漏洩やシステムへの損害、場合によっては所在国の安全保障や広く国民一般の生活に影響を及ぼすことになります。
そこで、今回は、英国の会社でインシデントが起こった場合に、事業者に求められる当局等への報告について、もう少し包括的にまとめてみたいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
情報インシデントとセキュリティインシデント
両者は似ていますが、一応、次のような区別が可能かなと思います。
正直、インシデント発生時にその分類についてごちゃごちゃ考えている暇は無いと思いますし、それをするぐらいなら他にやることがあります。
もっとも、法令が事業者に対して何らかの報告義務を定めている限り、報告義務の対象となるインシデントとは何か?についても併せて規定しているはずであり(そうでなければ法令として機能しない)、上記の分類は、報告義務を確認する際の交通整理にある程度役立つのではないかと思います。
ポイント①:個人データが関わるか?
まずは、インシデントがデータ保護法に関わるものであるか否かを確認すべきです。
もし、インシデントがUK GDPRにいう「personal data breach」(*1)を含むものであり、データ主体の権利・自由を脅かすものである場合には、イギリスのデータ保護当局であるICOに対して、報告を行う必要があります。
なお、インシデントを検知してから72時間以内に報告することが求められているため、かなりタイトなスケジュールで対応を求められます。
詳細は冒頭にリンクを載せている記事をご覧ください。
ポイント②:刑事犯罪が関わるか?
次に、インシデントが誰かの犯罪を構成しているかを確認します。
もし、YESである場合は、警察のAction FraudというWEBサイトを通じて、インシデントの報告を行うことを検討すべきです(*2)。
何がイギリスで犯罪とされているか、多くの人は詳しく知らないと思います。とはいえ、サイバー攻撃の場合は間違いなく犯罪ですので、判断に迷うことは無いはず。
判断に時間がかかるのは、従業員による漏洩が起こった場合ですね。故意に行われたことが容易に特定できるのであれば犯罪とすぐ断定できますが、普通は、漏洩の経緯を確認するのに時間を要します。
なお、Action Fraudへの報告は、義務ではありません。ただし、社会的に耳目を集めるインシデントの場合は、真実発見と言う社会的要請を果たす意味でも、警察への相談が実際のところは必須ではないかと思います。
ポイント③:特定のセクターの事業者か?
③‐1:NIS RegulationにおけるOESか?
何のことやら分からないのと思うので順に説明します。
NIS Regulationとは、イギリスのサイバーセキュリティに関する主要な法令であるThe Network and Information Systems Regulations 2018の略です。これはEU法であるNIS指令に由来する法令で、Brexit後もRetained EU Law(Assimilated Law)として現在も有効なものです(*3)。
NIS Regulationは、サイバーセキュリティに関する重要セクターを担う事業者のことを、OES(Operator of an essential service)と定義し、一定の義務を課しています。日本語に意訳するなら、重要サービス事業者といったところでしょうか。
どのような事業者がOESに当たるのかについては、要件が複雑であるため、ここでは詳細は割愛します。ただし、次のセクターの事業者は、自身がOESに該当するか確認しておくべきです。
もし、「うちが該当するのでは?」という場合は、NIS RegulationのSchedule 2を確認してみてください。細かい定義が載っています。
OESの報告義務
前提の説明が長くなってしまいましたが、OESは、そのサービスの提供の継続に重大な影響を及ぼすインシデントを認識したときは、72時間以内に、所管官庁に通知する必要があります。通知すべき事項は、NIS Regulationの11項に記載があります。
③‐2:NIS RegulationにおけるRDSPか?
NIS Regulationは、サイバーセキュリティに関する規制の対象となる事業者として、RDSP(relevant digital service provider)というカテゴリーを設けています。関連デジタルサービス事業者といった和訳が可能かもしれません。
NIS Regulationは、次のように定めています。
ここで、「デジタルサービス」とは、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスに該当するものをいいます(*4)。
また、「零細事業者」とは、従業員10人未満、かつ、年間売上高又は貸借対照表の合計が200万ユーロをいい、「小規模事業者」とは、従業員50人未満、かつ、年間売上高又は貸借対照表の合計が1,000万ユーロをいいます。
RDSPの報告義務
RDSPは、そのサービスの提供の継続に重大な影響を及ぼすインシデントを認識したときは、72時間以内に、ICOに通知する必要があります。通知すべき事項は、NIS Regulationの12項に記載があります。
③‐3:FCAの監督を受けている事業者か?
英国の金融サービスの規制官庁であるFCAの監督下にある事業者は、重大なインシデントが発生した場合、FCAに報告すべきとされています(*5)。
FCAの各種規定をざっと見ましたが、時間制限は見当たりません。ASAPということかもしれません。
ただし、支払サービス事業者(Paymeny Service Provider)は、重大なセキュリティインシデントを認識してから、4時間以内に、初段の報告を行うことが求められています(*6)。めちゃくちゃタイトですね、、。
また、わざわざ項目を立てて書くとややこしくなると思い、項目から落としていますが、特定の金融機関は、FCAのみならずイングランド銀行のPRA(Prudential Regulation Authority)からも監督を受けています。PRAの監督を受けているのは、主に大手の銀行、投資銀行、保険会社などです。
そのような金融機関は、FCAのみならず、PRAにもインシデントの報告が必要です。
まとめ
いかがだったでしょうか。
今回の話を要約すると、次の通りです。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 日本語だと「個人データ侵害」などと訳されます。個人情報保護委員会の仮訳はこちら。
*2 スコットランドは、Action Fraudのスキームに参加していないため、スコットランドの事業者は、現地の警察に直接連絡することになります。
*3 Retained EU Lawについては、以前に詳しい記事を書いています。こちらをご覧ください。
*4 厳密には、「情報社会サービス」(Information Society Service)でもある必要がありますが、詳しくは割愛します。
*5 FCAのガイダンスはこちら。
*6 こちらが、FCAのインストラクションです。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにもデータ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?