2022年4月1日に施行された日本の改正個人情報保護法(令和2年改正)では、個人情報の漏えい等が発生した場合に、監督当局への報告と本人への通知が義務付けらるようになった。監督当局への報告期限は原則として、漏えい等の発生を知った後 3~5日以内とされている。また、本人への通知としては、漏えい等の発生を知った後、速やかに本人に通知を行う必要があり、原則として漏えい等の発生を知った後 30日以内に行わなくてはならない。
近年、各国でサイバーセキュリティやデータ保護に関する法規制の厳格化が行われており、同様に監督当局への通知要件が設けられている。しかし、設定された期限内での対応を遵守できなかったことで罰金を科された例もある。
2022年1月にはオランダにおいて大手配車サービス企業が2016年に発生していた個人データの侵害を報告せず、被害者にも通知しなかったとして、監督当局から60万ユーロ(およそ7,800万円)の罰金を科された。そして、2022年3月にはインドの医療保険会社で情報漏えいが発生したが、監督当局への6時間以内とされる通知義務に違反したとして、50万ルピー(およそ70万円)の罰金を科されている。
インドにおける6時間以内という期限はなかなか厳しいものではあるが、各国のこれら法規制における期限を遵守できなかったことで罰金を科された企業が既に複数社出ている。
通知期限が設定されているものの、これらの要件では必ずしも通知に関する規定が単純明快なものにはなっていないといった実情もある。
カナダでは通知要件の適用範囲や手続きについて不明確な点が多く、企業や組織による対応が難しいという声もあがっている。
例えば、重大な危害の定義や判断基準が明確でないため、どのような場合に通知すべきかを判断しにくいという問題がある。また、通知する際に必要な情報や書式が統一されておらず、監督当局や本人への通知方法も異なるため、手間やコストがかかるという問題もある。
また、ブラジルではデータ保護法の施行と合わせて監督当局が設立されたが、その権限や役割について不透明な点が多く、企業や組織にとって対応が難しいといった声もあがっている。
例えば、監督当局は個人データの侵害を通知する期限や方法を定める権限を持っているものの、具体的な基準や手順はまだ公表されていない。また、監督当局はデータ保護法違反に対する罰金や制裁措置を科す権限を持っているものの、その基準や計算方法をまだ明確にできておらず、企業や組織がリスクを評価しづらいといった問題もある。
そして、対応を難しくしているのは、要件の明確さだけではない。
通知対象が拡大しており、個人情報の漏えいだけでなく、システムの停止や改ざんなどの侵害についても、監督当局への通知が求められるケースが増えている。そのため、企業や組織は侵害の種類や規模を問わず、迅速かつ正確に通知を行うための体制を整備する必要がある。
2018年5月に施行されたGDPR(EU一般データ保護規則)では、個人データの侵害が発生し、個人の権利や利益を害するおそれがある場合には、侵害が発生したことが判明してから72時間以内に監督当局へ報告することが義務付けられている。多くの法規制では監督当局への通知期限として、GDPRと同様に侵害が発覚してから 72時間以内と定められてきた。
しかし近年では、侵害の影響が拡大する前に監督当局としても迅速に状況を把握するために情報提供を求めていることから、通知期限が24時間以内に短縮されるケースが増えている。
例えば、中国の個人情報保護法では当初、侵害が発覚してから 72時間以内と定められていた通知期限が 24時間以内へと短縮された。
インドでは 2022年1月に施行されたサイバーセキュリティ法において、個人情報の漏えいなどの重大なセキュリティインシデントが発生した場合、監督当局へ6時間以内に通知することが義務付けられている。そして、通知内容としてインシデントの概要、影響範囲、侵害された個人情報の種類や件数、侵害の原因、被害者への対応計画など、監督当局がインシデントを調査するために必要な情報を含める必要がある。罰金を科された事例として前述したが、通知義務違反となった場合には罰則として、最高1億ルピー(およそ1億6,000万円)の罰金または3年の禁錮が定められている。
昨今のサイバーセキュリティまたはデータ保護等に関連する法規制の厳格化では、通知期限の短縮に加えて通知対象の拡大もおこっており、GDPRの改正案ではデータ侵害時の監督当局への通知対象が個人データだけでなく、個人を特定できないデータも含めるよう拡大することを提案している。
これら法規制の厳格化によって企業や組織のセキュリティ対策強化や、インシデント発生時の迅速な対応を促すことを期待されている。
企業や組織には、監督当局への通知体制の整備を含めた対応が必要となる。
そこで、平時に取り組むべき対応について、3点ほど紹介する。
更に、監督当局の要請に迅速かつ的確に応えられるようにするために、監督当局との定期的な情報交換や、インシデント発生時の対応方法について協議しておくといった取り組みも考えられる。
通知期限を遵守するためには、インシデント発生の早期発見と関係者との連携が重要であり、社内外やサードパーティーなどとの適切なコミュニケーションと、インシデントの状況を正確に伝えることが重要となる。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。