(イメージ:写真AC)

サイバーセキュリティやデータ保護などに関連した法規制の厳格化が各国で進行しているが、その中においても監督当局への通知要件は年々厳しいものとなっている。今回はその厳格化の実情について考察していく。

6時間以内!

2022年4月1日に施行された日本の改正個人情報保護法(令和2年改正)では、個人情報の漏えい等が発生した場合に、監督当局への報告と本人への通知が義務付けらるようになった。監督当局への報告期限は原則として、漏えい等の発生を知った後 3~5日以内とされている。また、本人への通知としては、漏えい等の発生を知った後、速やかに本人に通知を行う必要があり、原則として漏えい等の発生を知った後 30日以内に行わなくてはならない。

近年、各国でサイバーセキュリティやデータ保護に関する法規制の厳格化が行われており、同様に監督当局への通知要件が設けられている。しかし、設定された期限内での対応を遵守できなかったことで罰金を科された例もある。

2022年1月にはオランダにおいて大手配車サービス企業が2016年に発生していた個人データの侵害を報告せず、被害者にも通知しなかったとして、監督当局から60万ユーロ(およそ7,800万円)の罰金を科された。そして、2022年3月にはインドの医療保険会社で情報漏えいが発生したが、監督当局への6時間以内とされる通知義務に違反したとして、50万ルピー(およそ70万円)の罰金を科されている。

インドにおける6時間以内という期限はなかなか厳しいものではあるが、各国のこれら法規制における期限を遵守できなかったことで罰金を科された企業が既に複数社出ている。

不明確

通知期限が設定されているものの、これらの要件では必ずしも通知に関する規定が単純明快なものにはなっていないといった実情もある。

カナダでは通知要件の適用範囲や手続きについて不明確な点が多く、企業や組織による対応が難しいという声もあがっている。

例えば、重大な危害の定義や判断基準が明確でないため、どのような場合に通知すべきかを判断しにくいという問題がある。また、通知する際に必要な情報や書式が統一されておらず、監督当局や本人への通知方法も異なるため、手間やコストがかかるという問題もある。

また、ブラジルではデータ保護法の施行と合わせて監督当局が設立されたが、その権限や役割について不透明な点が多く、企業や組織にとって対応が難しいといった声もあがっている。

例えば、監督当局は個人データの侵害を通知する期限や方法を定める権限を持っているものの、具体的な基準や手順はまだ公表されていない。また、監督当局はデータ保護法違反に対する罰金や制裁措置を科す権限を持っているものの、その基準や計算方法をまだ明確にできておらず、企業や組織がリスクを評価しづらいといった問題もある。

そして、対応を難しくしているのは、要件の明確さだけではない。

通知対象が拡大しており、個人情報の漏えいだけでなく、システムの停止や改ざんなどの侵害についても、監督当局への通知が求められるケースが増えている。そのため、企業や組織は侵害の種類や規模を問わず、迅速かつ正確に通知を行うための体制を整備する必要がある。