【報告】ポーランド：データ侵害の評価と通知についてのガイダンス案を公表

共同管理者の責任

• 共同で実施するプロジェクトにおいて、GDPRに基づく義務の履行について責任の範囲を定義する
• GDPR第33条およびGDPR第34条で義務の履行をどちらが担当するかを決定する
• 個人データ侵害に関する情報交換について他方の当事者の義務を定める
• 合意内容が法的要件への効果的な準拠を可能にすることを保証する
• 第29条作業部会のガイドラインによると、共同管理者間の契約合意では、データ侵害通知に関するGDPRの義務の遵守を管理する管理者を指定すべきである
• データ侵害通知に関するGDPRの義務の遵守する管理者、またはこれらの義務の遵守を担当する管理者を明確にする

処理者の責任

• 管理者がGDPRの義務を履行する支援を行う
  • 特にGDPR第32条からGDPR第36条に概説されている要件について
• 個人データ侵害が確認された場合は、速やかに管理者に報告する
• 処理者が複数の管理者にサービスを提供しており、インシデントがそれらすべてに影響を及ぼす場合、速やかに、遅滞なく、それぞれにデータ侵害を報告する
• 管理者の代理としてデータを処理させる場合、適切な技術的措置および組織的措置を実施する十分な保証を提供する処理者のサービスのみを利用する
• 個人データの侵害を緩和するために管理者から指示を受けた場合は、直ちに効果的な措置を講じる
  • 特に、契約に基づいて処理されているデータへの不正アクセスをブロックする必要がある場合
• 個人データ侵害が発生し、処理者が適切に対応しない場合、監督機関がGDPR第58条に基づき権限を行使する可能性がある

• データ侵害を検知した場合、管理者は以下の対応を行わなければならない
  • 個人の権利および自由に対する侵害リスクを分析する
    • データ侵害により影響を受ける個人に物理的、物質的、または非物質的な被害が生じる可能性がある場合
      • 例：
        • 差別 (discrimination)、なりすまし (identity theft)、金融詐欺 (financial fraud)、機密性の喪失 (loss of confidentiality)、評判の低下 (damage to reputation)、その他の重大な経済的帰結または社会的帰結
• 分析によりデータ侵害の可能性がないことが示された場合、管理者はUODOへの通知を免除される
  • UODOは侵害を報告しないことの正当性についての説明を要求できるため、分析結果は社内で記録しておくべきである
• データ侵害が、民族的出自 (ethnic origin)、政治的意見 (political opinions)、宗教的信条 (religious beliefs) または哲学的信条 (philosophical beliefs)、組合への加入状況 (union membership)、遺伝子データ (genetic data)、健康 (health)、性的生活 (sexual life) を明らかにするデータに関わる場合には、危害 (harm) が発生する可能性が高い

通知方法

• 電子通知：
  • 直接利用可能な専用フォームに記入
  •  記入済みのフォームをePUAPの電子受信箱に送信する
    • 又は、一般書簡を使用する
• 従来の郵便で記入済みのフォームを郵送する

データ侵害報告

• 個人データ侵害の性質について、可能な場合は以下のカテゴリーと概算数を含めて説明する：
  • 影響を受けた個人
  • データ侵害の影響を受ける個人データのレコード
• データ保護責任者 (DPO) 、またはより詳細情報を入手できるその他の問い合わせ先 の氏名および連絡先の詳細
• 個人データ侵害がもたらす可能性のある結果の説明
• 個人データ侵害に対処するために管理者によって実施または提案された措置の提示
  • 必要に応じて、その潜在的な悪影響を最小限に抑えるための措置を含む

通知のタイミング

• 管理者は、過度の遅滞なく、また、可能であればデータ侵害に気づいてから72時間以内にUODOに違反を報告しなければならない
  • 個人の権利および自由に対するリスクをもたらす可能性が低い場合はこの限りではない
• 過度の遅滞なく通知が行われたかを判断する際には、以下の点を考慮する必要がある
  • データ侵害の性質および重大性、データ侵害の影響、影響を受ける個人に対する悪影響
• 管理者は、データ侵害に気づいてから72時間以内にデータ侵害を報告しなければならない
  • 管理者は、セキュリティを脅かす事象が発生し、データ保護違反につながる可能性が十分に高い場合に、データ侵害を「認識」したとみなされる
• 処理者は、個人データ侵害を認識した場合、管理者に報告しなければならない
• 管理者は、個人の権利または自由に対する違反のリスクを評価する際、データ侵害をUODOに報告し、影響を受ける個人に通知するかを決定する

データ侵害が発覚してから72時間経過後に違反に関する情報を提供することは許されるか

• データ侵害が発覚してから72時間以内に管理者が必要な情報をすべて入手できるとは限らない
  • そのような場合、管理者は情報を逐次提供することができる
    • 管理者は、入手次第不足している情報を提供しなければならない
• 監督機関に遅延の理由を説明することを条件に、「逐次」通知が許可される

データ侵害報告におけるよくある間違い

• GDPR第33条 (3) で定められているような報告に必要な情報が不完全であること
  • 報告には以下を含めるべきである
    • 違反の詳細な説明
    • DPOの連絡先
    • 潜在的な影響
    • データ侵害に対処するために講じた措置
  • 電子フォームを使用することで、必要な情報をすべて記載しやすくなる
• 報告の記載が不正確な場合、あいまいで信頼性の低い情報となる：
  • 報告に不十分な記載がある場合、監督機関がデータ侵害の程度を判断するために追加の労力を費やさなければならなくなる
  • 包括的な情報を提供することで、監督機関はリスクを評価し、適切な措置を講じることができる
• 報告の定型的な記入や記入ミス：
  • 管理者が定型的な方法で報告書に記入することが多く、エラーや不正確な記載につながる
  • このようなエラーは管理者と監督当局との間で追加のやり取りが必要となり、不必要な時間と労力を費やすことになる
• 報告義務のない処理者またはその他の事業者 (entity) によるデータ侵害の報告
  • データ処理者は監督当局にデータ侵害を報告する義務はなく、その責任は管理者にある
    • 管理者は、インシデントを分析しリスクに基づいて分類し、監督当局に報告し、影響を受ける個人に通知するかを決定するべきである

データ侵害が発生した場合における自然人の権利および自由の侵害リスクの評価

GDPR前文76項に従い、自然人の権利および自由を侵害するリスクを評価する際には、以下の点を考慮する必要がある

• 事象の重大性
  • i.e., データ主体に与える可能性のある損害の程度
• データ侵害の結果としてこの事象が発生する可能性

データ侵害による個人へのリスクを評価するための基準

• 第29条作業部会(WP 29)ガイドラインで推奨されている基準：
  • 違反の種類 (type of breach)：
    • 医療データのアクセス違反のような違反は、機密保持違反よりも深刻な結果を招く可能性がある
  • 個人データの性質、センシティブ度、および量 (nature, sensitivity, and quantity of personal data)：
    • 通常であれば誰かの氏名や住所が明らかになっても、その人に被害が及ぶことはないかもしれない
      • 養子であることが明らかになれば、深刻な影響が及ぶ可能性がある
  • 個人を特定しやすいか (ease of identifying individuals)：
    • 暗号化で保護したデータは復号キーがなければ、権限のない個人には読み取ることができない
  • 個人にとっての影響の重大さ (weight of consequences for individuals)：
    • 意図しない受信者が銀行など信頼できる相手であっても、その侵害の影響は深刻ではないかもしれないが、侵害が発生しないわけではない
      • 長引くことでより深刻に受け止められる可能性があるため、個人への長期的な影響についても考慮すべきである
  • ある種の個人の特性 (specific characteristics of individuals)：
    • 一見些細な違反によるストレスが、高齢者の健康に影響を与える可能性がある
    • 子供の個人情報が開示されることで、その親族が経済的に搾取される可能性もある
  • ある種のデータ管理者の特性 (specific characteristics of the data controller)：
    • 医療データに関するデータ侵害は、個人により大きなリスクをもたらす可能性がある
  • 影響を受ける個人の数 (number of individuals affected)：
    • 事象の性質によっては、たとえ1人の個人であっても深刻な結果をもたらす可能性がある
• EC規則第611/2013号 (EC Regulation No. 611/2013) 第3条(2)項に基づく基準：
  • 個人データの性質および内容 (e.g., 以下に関連するデータ)：
    • 財務情報 (financial information)
    • 特別なカテゴリーのデータ (special categories of data)
    • 電子メールデータ (email data)
    • 位置データ (location data)
    • ウェブサイト閲覧履歴 (website browsing history)
    • 提供された電気通信サービスのリスト (list of telecommunications service provided)
  • 個人データ侵害によってもたらされる可能性が高い帰結
    • なりすまし (identitiy theft)または偽造(falsification)
    • 身体的または精神的な損害 (physical or mental damage)
    • 屈辱(humiliation)または評判 (reputation) の低下
  • 侵害が発生した状況 (circumstances in which the breach occurred)：
    • e.g., データが盗まれた場所、およびサプライヤーがデータが許可のないサードパーティの手に渡っていることを知った時期
• 個人データ保護侵害の重大性を評価する方法に関する推奨事項：
  • 欧州連合ネットワーク情報セキュリティ機関 (European Union Agency for Network and Information Security, ENISA) は、データ保護違反の重大性を評価するための方法論を開発し、3つの主な基準を提案した
    • データ処理のコンテクスト
    • データ主体の識別が容易であるか
    • 違反の重大性 (深刻さ) に追加的な影響を与える違反の状況

内部記録へのデータ侵害の記載

• GDPR第33条 (5) ：データ管理者は、すべての個人データ侵害を文書化しデータ侵害の内部記録を維持することを義務付けている
  • これには、次のものが含まれる
    • UODOへの通知の対象となるもの
    • データ主体の権利および自由に対するリスクをもたらす可能性が低いもの
• 文書化は、アカウンタビリティの原則およびGDPR第24条に基づく管理者の義務に沿ったものでなければならない
• UODOは、GDPRの遵守を確認するためにデータ侵害に関する文書へのアクセスを要求できる
  • データ侵害を報告しないという決定を行った場合は、その旨を記録に文書化すべきである
    • 権利および自由の侵害リスクが低いと判断した理由を記載する
• データ侵害に関する文書は、GDPR第30条に従って処理活動の記録に統合できる
  • データ侵害に関する情報が容易に特定できて要求に応じて提示できるようにすることで、別途のデータ侵害記録を保持せずにすむ
• データ侵害を適切に文書化しなかった場合、監督当局はGDPR第58条に基づき権限を行使する、あるいはGDPR第83条に基づき行政罰金を課す可能性がある

よくある個人データ侵害を減らすための対策

• 電子メールの送信に関連して個人データの不正開示が発生するケース：
  • 複数の受信者に電子メールを送信する際には受信者の電子メールアドレスが他者に開示されないよう注意を払うべきである
  • 電子メールの受信者は、通常、他のメッセージ受信者のデータを見ることができないようにすべきである
    • BCC (blind carbon copy) フィールドを使用するといった簡単な方法で、複数の受信者に電子メールを送信する際、他の受信者のアドレスを隠すことができる
  • メールアドレスのご入力でよく似たメールアドレスを入力する、システムに不正確なデータを入力するといったことが原因となることが多い
    • 文書送信を担当する個人に教育を行う
    • システムにデータを入力する担当者に、入力後のメールアドレスや住所の確認と必要性を周知する
    • 確認のための適切な技術的ソリューションを導入する
• 保護されていない (暗号化されていない) 個人データを含むIT機器の紛失や盗難によるデータ侵害：
  • 機器や記憶媒体の置き忘れや盗難による個人データの紛失は、必ずしも当該個人の権利や自由の侵害につながるわけではない
    • 管理者が効果的かつ適切なセキュリティ対策を実施しているといえるケース：
      • 個人データを含む機器や記憶装置に対して、現在の技術的知識に適合する暗号化手法を適用している
      • セッション終了後にリモートリソース (電子メールアカウントやウェブブラウザなど) からユーザーを自動的にログアウトさせる
• 権限のない個人に対して医療文書が不正に開示されるデータ侵害：
  • 医療文書の保管および文書へのアクセスを提供する事業者は、効果的かつ適切な検証プロシージャー (effective and proper verification procedures) を実装することが重要である
    • 検証は、関連する法的規定に基づく特定のプロシージャーに従って実施すべきである
    • 認証はいつでも取り消すことができるため、文書へのアクセス認証の妥当性を定期的に検証することが不可欠である
    • 医療事業者は、以下のことを行うべきである
      • 医療データを含む郵便物の発送に対応するプロシージャーを確保する
      • 意図しない受信者への不注意による開示を防ぐため、作成に関わる要員をトレーニングすること
  • 規制当局に報告された事例では、文書を誤った受信者に不注意で送付する事例が頻繁に発生していることが示されている
  • 患者の来院を記録し、印刷物を作成するシステムを使用する医療従事者は、以下のことを慎重に確認すべきである
    • 正しい患者のデータを編集しているか
    • 文書から正しい印刷物を作成しているか (データの正確性の原則)
• 悪意のあるソフトウェア (ランサムウェア) によるデータへのアクセス遮断を伴う違反：
  • ランサムウェアによるインシデントを防ぐために、組織は以下を行うべきである
    • 個人データのバックアップを個別に維持する
    • 信頼性の高いアンチウイルスソフトウェアおよびファイアウォールを使用する
    • 強力なパスワードを使用する
    • 不要な外部アクセスサービスを無効にする
    • ソフトウェアを常に最新の状態に保つ
    • ユーザーに安全なオンライン利用に関する教育を行う
  • データがランサムウェアによって暗号化された場合
    • 感染拡大を防ぐために直ちにデバイスをネットワークから切断する
    • 復号キーを受け取れる保証はないため、身代金 (対価) を支払わない
    • バックアップコピーから復元する
    • 報告用に、以下の情報を収集する
      • データ侵害がどのように検出されたか
      • ランサムウェアの詳細
      • バックアップが利用可能か
      • 攻撃者からの通信
    • 犯罪を法執行機関に報告する
    • CERT Polskaにインシデントを報告することを検討し、UODOに報告について通知する
• 顧客の個人データを含む文書を従業員が紛失するデータ侵害：
  • UODO に寄せられる多くの報告は、顧客の個人情報を含む書類を従業員が紛失したケースに関するものである
    • 特に、顧客と自宅でやり取りする場合に発生する (e.g., 保険代理店、ファイナンシャルアドバイザー)
  • このような違反を防ぐために以下の対策を行うことが重要である：
    • 顧客訪問時に持ち運ぶ書類の量を必要最低限に制限する
    • 可能な限り暗号化されたIT機器で電子的に書類を運搬する
• 書類の誤送付や、情報公開時の個人データの匿名化を伴うデータ侵害：
  • 公共部門では、文書を誤って不適切な受取人に送付するケースとは別に、データの不適切な匿名化のケースも発生している
    • 特に、情報公開制度の下でデータを共有する場合に発生する
  • このような状況に対する対策には、以下が含まれる
    • データ保護およびセキュリティに関する従業員への定期的なトレーニング
    • 個人データを含む文書の取り扱いに関する詳細な指示 (匿名化の方法を含む)
    • 通信プロセス (従来の方法および電子メールの両方) の管理強化

データ主体への通知

• 個人データ侵害が自然人の権利と自由に対する高いリスクをもたらす可能性がある場合、管理者はデータ主体にデータ侵害を不当に遅滞することなく通知しなければならない
• 管理者は、違反に関する情報が影響を受けるすべての個人に迅速かつ確実に伝達されるような方法を選択すべきである
  • 管理者は、特に監督当局から要請があった場合、個人への通知を遅らせることはできない
• GDPR第34条 (3) では、データ侵害が発生した場合に自然人への通知が不要となる状況を３つ提示している：
  • 違反が発生する前、管理者は個人データを保護するために適切な技術的および組織的措置 (特にデータが権限のない者によってアクセスされるのを防ぐ措置)を講じた場合
  • 違反が発生した直後、管理者がハイリスクの可能性を排除するための措置を講じた場合
  • 関係者への連絡には不均衡な労力が求められる場合

データ主体に提供する情報：

• 個人データ保護侵害の性質：
  • データ主体が、自分の個人データに何が起きたのか、なぜ起こったのか、またそれが自身にとってどういう意味を持つかについて十分に理解できる程度に明確な内容
• データ保護責任者 (DPO) または追加の情報を入手できるその他の問い合わせ窓口の名称と連絡先
• 個人データ侵害によって生じる可能性のある帰結についての説明
• データ侵害に対処するために管理者によって取られた、または提案された措置の説明
  • 必要に応じて、その可能性のある悪影響を最小限に抑えるための措置を含む

コミュニケーションの方法

• データ主体にデータ侵害を通知する方法は、GDPRでは明確に規定されていない
• データ管理者が保有しているデータ主体の連絡先情報の種類によって通知方法を選択する
• 通知は、データ主体が内容を複数回確認できる形式で作成すべきである
  • 通知はできるだけ早くデータ主体に送付すべきである
    • 電子通信はデータ主体に不当な遅延なく通知する義務を考慮すると望ましい
      • 従来の郵便は電子通信と比較すると送付に時間がかかる可能性がある
    • 電子通信では、受信者はメッセージを複数回確認でき、必要に応じて印刷することも可能である
• データ管理者はデータ侵害の対象となった個人に対して直接通知を行う義務を有するが、過度に大きな労力を要する場合はこの限りではない
  • そのような場合は、影響を受ける個人に効果的に通知するために、公的な通知または同様の方法を使用することができる
  • データ侵害に関する通知は、ニュースレターなどの他の通知とは別に、専用の通知を使用すべきである
  • プレスリリースや企業ブログへの投稿は、個人にデータ侵害を通知するための効果的な方法とは見なされない
• 連絡先情報が不十分なために個人に通知できない場合、合理的に可能な限り速やかに通知する努力を行うべきである
  • 個人から連絡を容易にするための追加情報を提供された場合はその方法を用いること

個人に通知を行う際に生じやすい誤り

• データ侵害の説明：
  • データ主体にインシデントに関する部分的な情報や不明瞭な情報のみを提供しており、透明性の原則から逸脱したデータ侵害の説明を行ってしまう
  • データ侵害の説明は詳細かつ明確であるべきであり、影響を受けたデータのカテゴリーの説明とともに、データ侵害の状況を含める必要がある
• DPOまたは詳細情報の問い合わせ先：
  • DPOの氏名を明記せずにDPOの連絡先情報のみを提供するのは誤った慣行である
    • 連絡先は、データ主体が容易にアクセスでき、支障なく侵害に関する詳細情報を入手できるものでなければならない
• データ侵害の潜在的な帰結の説明：
  • よくある誤りとして、データ主体にデータの機密性やコントロールが失われる可能性があることを曖昧に伝えることが挙げられる
    • 管理者は、データ侵害の性質と影響を受けたデータのカテゴリーに基づいて、データ侵害によって生じる最も可能性の高い悪影響を特定すべきである
• データ侵害に対処するために管理者によって実施された対策、または管理者が提案する対策の説明：
  • 管理者の推奨事項は、データ侵害されたデータの性質とカテゴリーを十分に考慮していないことが多い
    • データ主体に対して、個人データの不正使用があった場合に管理者に通知するよう単に提案するだけでは、違反による悪影響を十分に緩和できない可能性がある