Loading…
個人データ侵害は、週末も祝日も経営陣の在席状況も待ってくれない規制上のタイマーを始動させます。GDPR第33条のもとでは、認識から72時間以内に監督機関へ通知する必要があります。DPDPA規則7、PDPA第26B条、LGPD決議15/2024も同様の期限を定めています。
このプレイブックは72時間を、検知、封じ込め、評価、文書化、提出という5つの名前付きフェーズに分割し、各ゲートで具体的な成果物を示します。ランブックとしてお使いください。何かが燃え盛っているときに、プロセスを書いている余裕はありません。実行している状態でありたいものです。
第33条は「それを認識してから遅くとも72時間以内」と定めています。認識とは、管理者がセキュリティインシデントが発生し、かつ個人データが関与していることについて合理的な確実性を有する時点を指します。次のものは認識にはあたりません:
個人データ侵害通知に関するEDPBガイドライン9/2022は、認識に至るまでの短い調査期間を認めていますが、その期間は短くあるべきであり、数日ではなく数時間単位とすべきです。
目標: インシデントの発生を確認し、フォレンジック証拠を保全し、対応チームを起動します。
T+6時間時点の成果物: 1ページのインシデント概要 — 何が、いつ、どのシステムで起き、どのデータカテゴリーが関与しうるか、判明している不明点は何かを記載します。
目標: 被害の拡大を止め、影響を受けたシステムを隔離し、時間的制約のある外部関係者へ通知します。
T+24時間時点の成果物: 封じ込めの確認、暫定的な範囲ステートメント。
目標: 規模と想定される被害を判断します — これが下流のすべての意思決定を左右します。
T+48時間時点の成果物: 被害リスク評価、通知判断マトリクス、内容を記入した通知テンプレートのドラフト。
目標: 提出する成果物を作成し、社内記録を確定し、ステークホルダーに説明します。
T+72時間時点の成果物: 提出可能な通知書、完全な社内記録。
目標: 法定期限内に規制当局へ通知し、必要な場合はデータ主体へ連絡します。
T+72時間以降の成果物: 提出の受領確認、データ主体への連絡の送付(または連絡しない旨の文書化された判断)、14日以内に予定するインシデント後レビュー。
| 規制当局 | 法定期限 | しきい値 |
|---|---|---|
| EU監督機関(GDPR) | 認識から72時間(第33条) | 権利および自由に対するリスクをもたらすおそれが低い場合を除く |
| ICO(UK GDPR) | 認識から72時間 | 同じくリスクベースのしきい値 |
| CPPA/カリフォルニア州司法長官(CCPA) | 「可能な限り迅速に」(カリフォルニア州民法典§1798.82) | カリフォルニア州居住者500人超に影響する場合、司法長官への通知が必要 |
| インドデータ保護委員会(DPDPA) | 遅滞なく。詳細は規則7に規定 | すべての個人データ侵害 |
| CERT-In(インドIT法2022年指令) | 認知から6時間 | 指定インシデントカテゴリー(ランサムウェア、DDoS、改ざんなど) |
| PDPC(シンガポールPDPA) | 通知対象の侵害であることが評価で確認された後72時間 | 重大な被害、または500人以上 |
| ANPD(ブラジルLGPD) | 確認から3営業日(決議15/2024) | データ主体に対するリスクまたは重大な損害 |
| PPC(日本APPI) | 遅滞なく(通常は数週間ではなく数日) | 要配慮データの漏えい、金銭的損失、不正な意図、または1,000件以上のレコード |
最もよくある組織的な失敗は、実際の規制当局への提出をめぐってDPOと法務責任者の間で責任の所在が不明確になることです。事前に決めておきましょう — 多くのチームでは、DPOが弁護士秘匿特権の下でドラフトを作成し、提出書類自体ではDPOを連絡担当者として記載するのが標準です。
GDPR第34条は、権利および自由に対する高いリスクがある場合にデータ主体への連絡を義務づけます。その基準は監督機関への通知のしきい値よりも高くなります。通知が必要となる例:
第34条(3)は、直接の連絡に対する3つの免除を挙げています。すなわち、権限のない者にとってデータを判読不能にする暗号化、高いリスクを除去する措置、または公的な連絡で代替できる不釣り合いな労力です。
通知の内容(第34条(2)): 侵害の性質、DPOの氏名と連絡先、想定される影響、講じた措置。平易な言葉で記載します。
いいえ。第33条は営業日ではなく時間単位です。一部の規制当局(LGPD、シンガポールPDPA)は期限を営業日で定めています。該当する制度を確認してください。
第33条(1)は「遅延の理由を付して」後から通知することを認めています。監督機関はこれを受け入れますが、精査します。繰り返される遅延は執行のトリガーとなります。
第33条(2)は、処理者が「不当な遅延なく」管理者へ通知することを求めます。DPAではより厳しい期限(多くは24〜48時間)が定められている可能性が高いです。監督機関への通知は管理者の義務ですが、処理者は管理者が72時間の期限を守れるよう十分な情報と時間を提供しなければなりません。
重大なものについては、はい。外部弁護士は調査の作業成果物に対する弁護士秘匿特権を確立し、後の訴訟における開示リスクを大幅に低減します。安価な保険です。
四半期ごとに、現実的なインジェクトベースのシナリオで机上演習を行い、72時間の期限を90分に時間圧縮してシミュレーションします。各フェーズ移行での意思決定の遅れを記録します。実際に提出する第33条(3)と同じ記載事項一式を使用します。
RegulatoryBridgeは、弁護士秘匿特権の下で24時間365日の侵害対応 — インシデント・コマンダー、規制当局への提出、データ主体への連絡 — を提供します。数分以内に起動できます。