GDPRではデータ侵害が危害に対する「高いリスク」をもたらす場合、監督機関に対して通知することを義務付けています。(GDPR第33条)通知は72時間以内という短時間の間に行われることが期待され、通知内容に対しても詳細な要件が定められています。データ侵害が発生した状況を文書化する義務も定められています。このように、インシデント対応では抑えるべきポイントがいくつかあります。対応の方法は異なっても、このポイントをもれなく含めることが大切です。
TrustArc社とNymity社が提供するインシデント対応要領を作成するためのチェックリストをベースに日本語版を作成しました。ご活用ください。
