個人データ侵害の発生、企業は何をすべきか?「Personal data breaches, what to do」を公開 EDPB
GDPRを管轄する欧州データ保護会議(EDPB)はこのほど、「Personal data breaches, what to do」を公開しました。
本資料は、EDPBが策定している「個人データ侵害通知に関するガイドライン 2022年9月」を補足するもので、情報漏洩などが発生した際に企業はどうすべきかを、実施例を用いながら解説しています。
それによると、まず、個人データの侵害には、不正アクセスなどによる「機密侵害」、不正または偶発的な変更による「完全性の侵害」、個人データへのアクセス喪失や破壊による「可用性の侵害」の3種類があるとされました。これらのデータ侵害は、▽データ保護に関する従業員の教育を行う▽最新のウイルス対策を講じる▽システムを最新の状態に保つ▽多要素認証の導入などにより防ぐことができると述べています。
また、個人データ侵害などが起きた場合の具体的なアプローチとして、(1)侵害を特定する、(2)侵害を文書化する、(3)データ保護機関(DPA)に違反を通知する、(4)影響を受けた個人に侵害を通知する、というステップを示しました。
この対応ステップの実施例も紹介され、例えば「ある組織で個人データのアーカイブのバックアップをUSBキーに暗号化して保存していた。不正侵入により、鍵が盗まれてしまった」というケースを挙げています。この場合は、データが復元できるタイミングであればデータ保護機関への報告は必要ないものの、データ復元が不可能であれば報告をする必要があり、いずれの場合においても、個人データの侵害について文書化をすることの重要性が強調されました。
※なお、本資料では「個人データ侵害通知に関するガイドライン 2022年9月」に含まれる例を簡略化して紹介したものであるため、同様のケースについて判断を下す際は、必要に応じて同ガイドラインを参照することと付しています。
