通知に関するガイダンス

上で述べた通り、2021年1月にEDPBよりデータ侵害通知に関するガイドラインのドラフトが公表されている*5。このガイドラインでは、GDPR施行以降における監督当局の経験から、データ侵害のリスクに対応してデータ管理者が評価することを支援するということを目的としている。

その内容は、「ランサムウェア」「データ漏洩」「内部の人的リスク」「デバイスやドキュメントの紛失または盗難」「メール関連の違反」「ソーシャルエンジニアリング」の6つのテーマに分かれており、それぞれについて以下の内容を体系に示している。

  • ・個人データを保護し、侵害を防ぐためにデータ管理者によって実施された措置
  • ・違反を取り巻く状況
  • ・上記の要因に基づく結果として生じるリスク
  • ・データ管理者が実行する必要のある手順
  • ・データ管理者のその後の義務


実際に、データ侵害の被害に遭われた場合の対応のガイダンスとしてだけでなく、平時におけるトレーニングなどの際にも、関心のあるテーマから参照して活用してもいいだろう。

もしこれらの具体的な内容について解説してほしいというご要望があれば、弊社までお問い合わせください。ご要望が多い場合は、今後のニュースレターのどこかで、いくつかの事例を取り上げながら触れていきたい。

また、一部の監督当局では、組織がデータ侵害に関連するリスクを評価および認定することを支援するために、ガイダンスと指標を提供している。ドイツの監督当局(DSK)からは、リスク評価の過程で組織が実行すべきさまざまな手順を説明したガイダンス*6も提供されているため、必要に応じて参照してもいいだろう。