個人データ保護対応の実務をケースから学ぶ(1)個人データ保護対応の実務をケースから学ぶ(2)個人データ保護対応の実務をケースから学ぶ(3)の続きです。

 MedSource 社でデータ侵害が発生しました。データ侵害は買収前に発生していたことがわかりました。すこし問題が複雑化しそうです。皆さんならどのような対応をすべきか、以下のケースを読んで答えてみてください。質問に答えることで実務でやらなければならないことが見えてくるはずです。


シナリオ4の概要

 

Worldwide Medical 社のプライバシー・ポリシーはかなり完成度の高いものとなりました。プライバシー・ポリシーを整えるための第一歩は専任の Privacy Officer を採用することでした。Privacy Officer が社内体制の整備を主導することで、 Worldwide Medical社のプロセスを全社的に統一可能となり、ビジネス・ユニットが異なっても一貫性のあるプライバシー保護体制が敷かれるようになったのです。

今回行った体制整備の一つに全社統一の契約テンプレート作成があります。

Worldwide 社は現在、全社的な契約の作成、管理をおこなう調達機能を中央に集約しています。調達機能を持つ部門はすべて、統一契約テンプレートを用いなければなりません。今回、契約テンプレートを改訂し、Worldwide Medical 社の契約にはすべて、プライバシーに関する条項が最初から盛り込まれることとなりました。

Worldwide 社が買収したMedSource 社は調達部門が契約を取りまとめる体制となっていませんでした。つまり、各部門が独自に契約を行っていたのです。そのため、契約は部門ごとに作成し、プライバシー保護に関する条項も契約によって異なっていました。

幸いIT 部門が交わした契約書にはある一定レベルのプライバシー保護に関する条項が含まれており、データ侵害が発生したとしても会社を適切に護ることができるようになっていました。しかし、一貫性を欠くという欠点もありました。特にサービス契約については、データ・プライバシーに関する条項があいまいで不十分なものとなっていました。

Global Privacy Officer の Johson がある朝出勤すると、MedSource 社の COO から気になるメールが届いていました。

メールによれば、90日前(買収前)、 MedSource 社にデータベース・マネジメント・サービスを提供しているサード・パーティー・ベンダーが攻撃を受けたということです。サード・パーティー・ベンダーの報告によると、MedSource 社の患者データが多数データ侵害の被害にあったといいます。

MedSource 社は直ちにベンダーとの契約を終了したいと考えましたが、それが可能か、また MedSource 社が責任を負うべきものかについてはっきりしません。ベンダーとの契約はス特別な IT サービス契約となっていたためです。

Worldwide Medical 社が MedSource 社を買収する前に発生した事象だということが問題を複雑にしています。データ侵害の責任は誰にあるのか、どのように解決するのがよいのかについての判断は注意して行ったほうがよさそうです。

Global Privacy Officer の Johson の懸念は以下の通りです。

  • データ侵害は本当に発生したのか?
  • 本当にデータ侵害が発生したのであれば、どのようなデータが流出したのか?
  • サード・パーティー・ベンダーの持つ脆弱性は解決されたのか?
  • MedSource 社はインシデント・マネジメント・プロセスを持っていたのか?
  • Worldwide Medical 社にはインシデント・マネジメント・プロセスがあるのか?
  • インシデント・マネジメント・プロセスには次の内容が含まれているか?
    • データ侵害時の通知の要否やアクションを定めたDecision tree
    • データ侵害と判断するための判断基準
    • 影響を受けたデータの種類、データの保管場所、影響を受けたデータの量
    • 通知すべきステークホルダのリスト
    • ステークスホルダ以外に通知すべき対象のリスト(当局、メディア、MedSource 社の顧客)
  • MedSource 社がWorldwide Medical 社を通じて影響を受けた患者に補償を行う場合、何を提供すべきか?

質問:
Privacy OfficerのJohnsonが考えるべきことは他にもたくさんありそうです。すべて書き出してください。


 

【答えの例】

Global Privacy Officer としてFred Johnsonが行うべきことは、社内にプライバシー・マネジメント・プログラムを確立することです。

プライバシー・マネジメント・プログラムとは、個人データの取得から廃棄までのすべての過程において、適切な個人データの取り扱いがなされるように社内のデータ管理体制を整備することです。ISO 9001 や ISO 14001、ISO 27001 のように責任者を定め、PDCAを回すことで組織内の管理体制(マネジメント・システム)を成熟させていくことが目的です。

プライバシー・マネジメント・プログラムは以下の13の項目から成っています。これを順番に実装していくことが Global Privacy Officer の仕事となります。(お気づきの通り、当サイトのカテゴリーは、プライバシー・マネジメント・プログラムで扱うアクティビティで分けています。)

  • ガバナンス体制を整える
  • 個人データ台帳の保守、データ移転メカニズムの保守
  • 内部のデータ・プライバシー・ポリシーを保守
  • 日常業務にデータ・プライバシーの考え方を統合する
  • 従業員トレーニングとプライバシーについての認知活動を実施
  • 情報セキュリティ・リスクを日常的に管理する
  • サード・パーティー・リスクを日常的に管理する
  • プライバシー・ノーティスを実情にあったものとする
  • 個人からの要求や苦情に対応する
  • 新規業務を開始する際、プライバシーへの取組みを反映させる
  • データ侵害マネジメント・プログラムを定常的に更新する
  • 日常業務でのデータの取扱いとルール遵守を監視する
  • 外部情報を日常的にモニターする

今回の例では、具体的には何を行っていくことになるのでしょうか?

この記事は有料会員限定です。
ユーザー登録の方法 》