(イメージ:写真AC)

欧州では一日当たり平均でなんと331件ものデータ侵害の報告が発生している。 GDPRではデータ侵害が発覚した際に72時間以内の報告を求められているためだ。 しかし、実際に侵害に遭った企業の担当者は、報告すべきか否かの判断に頭を悩ませている。

0.1% は多いのか少ないのか?

1月28日のデータ・プライバシー・デイ(Data Privacy Day)が近づくと、毎年、北米や欧州などの地域でプライバシーやデータ保護に関するイベントが多く開催。この時期、サイバーセキュリティー企業や法律事務所などからは、GDPR(EU一般データ保護規則)にまつわる報告書や動向の分析なども多く発行されている。

2021年のデータ・プライバシー・デイに合わせて、国際的な大手法律事務所が発行した報告書*1によると、GDPRに関連したデータ保護監督当局への通知は、GDPRが施行された2018年5月以降これまでにおよそ28万1000件。

なぜならGDPRの第33条(監督期間に対する個人データ侵害の通知)において、以下のように定められているためだ。

1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
(個人情報保護委員会「一般データ保護規則 【条文】 仮日本語訳」*2より)

そして、およそ28万1000件の通知のうち、およそ500件に対して制裁金が科された。実に0.1%の企業や組織に制裁金が科されたという計算だ。

ここで一つの疑問が、侵害に遭った企業担当者の頭をよぎる。

99.9%の企業や組織では、制裁金が科されていない。

すなわち、自らが侵害に遭った際には「果たして通知の必要があるのだろうか?」

実際、GDPRが適用される企業や組織において、データ侵害発覚直後の調査や復旧などで混乱しているなか、72時間以内に通知をする必要があるのかどうか、多くの担当者がその判断に頭を悩ませておられる場面を多く目にする。