EU一般データ保護規則(GDPR)- セキュリティ侵害後の緊急措置
2018.07.25
GDPRでは、組織が適切なセキュリティ対策により管理下にあるデータ主体の個人情報を保護しなければならないとしている(第32条(1))。また、組織は同規則第4条(b)に基づき、災害復旧を巡るITシステムのセキュリティ、可用性、復旧およびテストに関するプロセスを実証することが可能であることを必要とする。GDPRの遵守違反に対しては、売上の4%または2,000万ユーロのいずれか大きい方の金額が制裁金として科される可能性がある。適切な予防手段を講じていても、事故や違法アクセスは起こり得る。個人情報が不正アクセスされた場合、組織として何をすべきか。本文では、GDPR基準に準拠した緊急時対応計画に含めるべき重要な点に焦点を当てて説明する。
- 情報漏洩事故発生の72時間以内に監督当局へ報告(第33条)
GDPRに加盟の各国には、GDPRの遵守状況を監視する公的監督機関がある。EU域外にある組織の場合、そのデータ主体に対するアクセスが最も多い国にデータ保護責任者を置く必要がある。非EU組織に関しても、その国の監督当局に報告することが推奨される。日本では個人情報保護委員会がそれに該当する。
この報告書はData Breach Response Plan(データ侵害対応計画)といい、以下の質問に対する回答を含める必要がある。
・流出したデータの種類
・流出したデータ主体の人数
・そのデータ主体に及ぼす影響
・どのような再発防止策が講じられたか
・72時間の報告期限を超えた場合、正当な遅延理由
2. 当該事故のデータ主体への通知と潜在的リスクの説明
同通知は、個人データ侵害の内容を説明し、その潜在的損害を軽減する方法を提案するものでなくてはならない。例えばクレジットカード情報が盗まれた場合、カードの利用記録を確認し、カードを無効にするようデータ主体に推奨することが適切であると考えられる。
3. 事故の再発防止
直ちにすべてのパスワードを変更し、新たなデータバックアップを作成する。組織のセキュリティの弱点を特定し、さらなる不正アクセスを防ぐ。IT専門家と共にシステムを修正または更新する。組織は事故検出の仕組みを再調査する必要があるが、迅速かつ正確な方法でのセキュリティリスクの検出や問題への対処が十分にできない場合、マネージドセキュリティサービスプロバイダーの利用を検討する必要がある。
予防措置が重要である理由
組織は、セキュリティ侵害が発生した場合の報告義務を果たすために、多くの仕組みと工程が必要であることに注意する必要がある。特に以下の仕組みに注意を要する。
・データインベントリ
・事故検出
・緊急時の指針と計画
・社内外コミュニケーション計画
・専用の対応チーム
・暗号化、仮名化、バックアップによるデータ保護
・不要になった、または関連性のなくなった、個人情報の削除によるリスクの軽減
・インサイダーの脅威を減らすために内部アクセスを制限および監視
・予防措置の訓練とテスト
GDPR遵守方法の更なる詳細については、組織のToDoリストなど、弊所の他の記事を参照ください。組織の種類、規模、内部構造、データ量はそれぞれに大きく異なるため、データ保護に関しては全てに通用する画一的なものがありません。弊所では、それぞれにカスタマイズした計画の構築方法について、ご相談を受け付けております。皆様からのご連絡をお待ちしております。
Photo credit to “Convert GDPR” (www.Convert.com/GDPR/)
その他の記事はブログをご覧ください。