GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(40) – 個人データ侵害通知・委託先管理

前回, 個人データの処理のセキュリティに関し解説しました。今回は, そのようなセキュリティをしていても個人データの漏えいが生じた場合の監督機関・本人への報告・通知, および, 個人データの処理を他に委託する場合に関するGDPRの規定を解説します。この二つの問題については, それぞれガイドラインが発表されているので後の回で解説しますが, 先ず, 今回のGDPRの条文内容の解説で概要を理解して下さい。

なお, 本稿において, (  )内の数字は条文番号であり, [  ]内の内容は筆者による補足・追記です。

 

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 個人データが漏えいした場合の監督機関への報告は?

Q2: 個人データが漏えいした場合の本人への通知は?

Q3: 個人データを第三者に委託する場合の規定内容は?

 

 

Q1: 個人データが漏えいした場合の監督機関への報告は?

A1: GDPR上, 以下の通り監督機関に対する報告が義務付られています。

【解 説】

(1) 「個人データ侵害」(personal data breach)

GDPR上, 個人データの漏えい等を「個人データ侵害」(personal data breach)と呼んでいます

「個人データ侵害」(personal data breach)とは, 個人データの事故による(accidental)または違法(unlawful)行為による, 破壊(destruction), 紛失・滅失(loss), 修正・改ざん(alteration), 無権限の(unauthorized)開示またはアクセスにつながる可能性のある(leading to)セキュリティー上の違反・侵害(breach)を意味します(4(12))。

(2) 監督機関への報告義務

(a) 管理者は, 個人データ侵害が発生した場合, 不当に遅滞することなく(without undue delay), 可能な場合侵害を認識した後(after having become aware of it) 72時間以内に管轄監督機関に通知しなければなりません。[1]

但し, 個人の権利自由に対するリスクが生じる可能性が低い(unlikely)場合は通知しなくても構いません。

監督機関への通知が 72 時間を超えてなされる場合, 通知にはその遅滞理由を含めなければなりません(33(1))。

(b) 管理者が個人データの処理を第三者(「処理者」)に委託していた場合で, その処理者側で個人データ侵害が生じた場合, 処理者は, その個人データ侵害を認識した後, 不当に遅滞することなく [直接監督機関にではなく先ず] 管理者に通知しなければなりません(33(2))。

(c) 管理者から監督機関への通知には少なくとも以下の事項を含めなければなりません(33(3))。

①個人データ侵害の内容(nature)(可能な場合は関係するデータ主体と個人データのそれぞれのカテゴリーと概数(approximate number)を含めること)。

②管理者がデータ保護監督者(Data Protection Officer:DPO)(一定の高リスクの処理を行う場合選任要:37(1))を選任している場合そのDPO, または, DPO以外に追加情報[より詳しい情報]を提供できる者がいる場合はその者(contact point)の氏名および連絡方法(contact details)

予想される被害(likely consequences)

被害の防止・軽減策(measures to mitigate its possible adverse effects)その他管理者が講じた対応措置または対応措置の提案

(d)管理者は, 全ての情報を同時に提供できない場合, 情報を段階的に(in phases)提供することができます(33(4))。

(e)管理者は, 事実関係, 侵害の影響, 対応措置その他侵害に関する全ての事項を文書化し保存なければならない。この文書は監督機関が上記義務の遵守状況を確認できるものでなければなりません(33(5))。

 

Q2: 個人データが漏えいした場合の本人への通知は?

A1: GDPR上, 以下の通り, 本人に対する通知が義務付られています。

【解 説】

(a)個人データ侵害が個人の権利自由に対して高度のリスク(high risk)を生じさせる可能性が相当程度ある(likely)場合, 管理者は, 不当に遅滞することなくデータ主体に対し, 個人データ侵害について通知しなければなりません(34(1))。

(b)データ主体に対する通知には, 以下の事項を含めなければなりません(34(2))。

明確かつ平易な文言で記載した侵害内容

②管理者がデータ保護監督者を選任している場合そのDPO, または, DPO以外に追加情報より詳しい情報を提供できる者がいる場合はその者の氏名および連絡方法

③予想される被害

④被害の防止・軽減策その他管理者が講じた対応措置または対応措置の提案

(c)データ主体への通知は, 以下のいずれかの場合は, 行わなくても構いません(34(3)。

①管理者が, 予め暗号化(encryption)等の個人データの内容を第三者が解読できない(unintelligible)ようにする適切なデータ保護措置を講じていた場合

②管理者が, 事後的に高度のリスクが現実化しないよう(is no longer likely to materialize)措置を講じた場合

データ主体への個別通知に不相当な努力(disproportionate effort)を要する場合。但し, この場合, 公表(または公表と同等の手段での情報提供)をしなければなりません。

(d)監督機関は, リスクの程度(likelihood)を考慮した上, 管理者に本人への通知を命令することができます(34(4)。

 

Q3: 個人データを第三者に委託する場合の規定内容は?

A3: GDPR上, 以下のような規定があります。

【解 説】

(1) 委託先(処理者)選定の条件

管理者は, GDPRの遵守について「十分な保証」(sufficient guarantees)をすることができる者(処理者)でなければ個人データの処理を委託してはなりません(28(1))。

(2) 再委託の制限

処理者は, 管理者の書面による事前承諾なく, 第三者に処理を再委託してはなりません。

処理者は, [再委託について]管理者から書面による包括的承諾(general written authorization)を得た場合であっても, 再委託先の追加・変更については, 事前に管理者に通知しかつこれを拒否する機会を与えなければなりません(28(2))。

(3) 委託の法的形式と内容

処理者による個人データの処理の内容および条件は, 書面(電子的形態を含む)による契約(またはEUもしくは加盟国の法令に基づく他の法律行為)で定めなければなりません(be governed by)。この契約等においては, 以下の事項を定めなければなりません(28(3),(9))。

(a)以下の委託の基本的内容

①処理の対象・期間

②処理の内容・目的

③個人データとデータ主体のカテゴリー

③管理者の権利および義務

(b)以下に定める処理者の義務

①管理者からの書面による指示にのみ基づいて個人データの処理(EU域外への移転を含む)を行うこと。

処理に従事する従業員等が秘密保持に合意している(かまたは法律上当該義務を負うようにする)こと

処理のセキュリティーに関しGDPR上義務付けられている全ての措置(32)を講じること

④処理者から第三者への再委託に関しては上記の事前承諾および後記の再委託契約の条件を遵守すること。

管理者による以下のGDPR上の義務履行に関し, 管理者に協力すること

・データ主体の権利行使への対応(12~22)

・処理のセキュリティー(32)

・個人データ侵害通知(33,34)

・データ保護影響評価(35)

・監督機関との事前協議(36) 。

委託終了後, 全ての個人データおよびそのコピーを管理者の選択により消去または返却すること。

⑦上記義務を遵守していること証明するため, 管理者に必要情報を提供し, 管理者(または管理者が任命した監査人)による監査(audits)を受入れこれに協力すること。

⑧管理者からの指示がGDPRまたは EU もしくは加盟国の法令に違反すると判断した場合, 直ちに管理者にその旨通知すること。

(4) 再委託の法的形式と内容

再委託の法的形式と内容は, 管理者と処理者間の委託契約等と同様としなければなりません(28(4))。

(5) 「十分な保証」の証明

管理者が個人データの処理を委託しようとする者が, GDPRの遵守について「十分な保証」をすることができる者であるか否かについては, 処理者による行動規範(40)/データ保護認証・シールおよびマーク認定制度(42)の遵守を、「十分な保証」を証明する一要素として考慮することができます(28(5))。

(6) 委託(再委託)の標準契約条項

欧州委員会および監督機関は, 個人データの処理の委託または再委託の標準契約条項(SCC)を定めることができます(28(7),(8))。[2021年6月4日にこのGDPR第28条に基づく個人データの処理委託用のSCCがこちらで公表されています(なお、個人データのEU域外への移転用SCCとは別のSCCです)]

(7) 無断処理の禁止

処理者, および, 管理者または処理者の下で業務を行う者であって個人データへのアクセス権限を有する者は, 管理者からの指示によらず当該個人データを処理してはならないと定められています。但し, EUまたは加盟国の法令により別段の定めがある場合を除きます(以上29)。

 

なお, 以上の処理者の義務は, 管理者が個人データの処理をEU域外の企業(例えば日本の親会社)に委託する場合でも, 免除規定はないので, 当然適用されます。

この場合, 上記(6)のGDPR第28条に基づく処理委託用のSCCと同日に, 個人データのEU域外への移転用SCCも欧州委員会から公表されており, この域外移転用SCCは, 前者のSCCの内容もカバーできるようになっているので, この域外移転用SCC を使うこともできます(詳細はこちらの記事参照)

 

今回はここまでです。

 

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【筆者の最近の個人情報保護関連書籍】

NEW!! 「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

中国データセキュリティ法の成立とその概要」2021/06/18

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

GDPR関連資格CIPP/E準拠 詳説GDPR  (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR  (下) – GDPRとCookie規制」 2019年11月

[2]

 

【注】

                             

[1] 【GDPR上の管理者等の義務に関する期限(原則)】 (a) データ主体の権利行使に対する対応期限:要求を受けた時から1か月以内(12(3),(4)), 所定の場合, 最大2か月延長可, (b) 個人データを間接取得した場合のデータ主体への情報提供期限:取得後1か月以内(14(3)), (c)データ侵害通知の監督機関への通知期限:認識後72時間以内(33(1))

[2]

 

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄  (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP  (International Association of Privacy Professionals) 会員,CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 2019年8月15日 Q&Aで学ぶ英文契約の基礎(6) - クラウドサービス規約(1) この「Q&Aで学ぶ英文契約の基礎」第6回では、契約の一形態である「規約」に関し、Amazonのクラウドサービスの利用規約を取り上げて解説します[1]。   Q1:クラウドサービスとは何ですか? A1:クラウドサービス(英語では"cloud (computing) service")とは、クラウドサービス提供事業者(英語では"cloud […]
  • 2020年8月15日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(14) – 地理的適用範囲(2)   今回から「地理的適用範囲ガイドライン」の概要を解説していきます。 【目  次】 Q1: 「地理的適用範囲ガイドライン」とは? Q2: GDPR第3条第1項に定めるEU域内の「拠点」とは? Q3: EU域内の「拠点」に関するガイドラインの内容は? Q4: EU域内の「拠点」に関する判断の具体例を示して下さい。 Q5: […]
  • 2019年12月25日 令和最初の法令の目玉「働き方改革」について もはや一種の流行語になった「働き方改革」、具体的には労働基準法改正について思うところを述べてみたい。これは今の日本で大いに必要な動きではあるが、公に議論されている内容は私なりには全く不十分であると思っている。一番多く言われていることは、「単に労働時間の上限設定では日本で働き方改革を推進することにはならない」ということである。つまりそうしても実際の労働時間は減らない(若しくは不 […]
  • 《東京開催》企業におけるAI活用と個人情報保護・プライバシーの留意点2018年11月8日 《東京開催》企業におけるAI活用と個人情報保護・プライバシーの留意点
  • 非法学部企業法務マンの奮闘記~企業法務部門の機能について~2019年9月17日 非法学部企業法務マンの奮闘記~企業法務部門の機能について~   企業法務部門の機能、役割については定義されつつありますが今一度私が考える企業法務部門の機能等について整理したいと思います。   企業法務部門の2大機能 大きくは経営陣・事業部に対する支援機能と会社の法的リスクを管理して万が一トラブル等が発生したときに会社が被る損害を最小限にする牽制機能に大別できると思います。   […]
to top