早まる通知プロセスGDPRのデータ漏えい通知 “72時間ルール”、開始タイミングはいつ？

GDPRではデータ漏えい通知に関する新たな規則が発効する。企業はこれまでよりも迅速に行動を起こす必要がある。何が変わり、どのように対処すればよいかについて、Mimecastのマーク・フランス氏に話を聞いた。

[Peter Loshin，TechTarget]

　欧州連合（EU）の新しい一般データ保護規則（GDPR）は2018年5月25日に施行開始となる。「EUデータ主体」に関するデータを集める全ての企業は、そのデータが侵害されたら72時間以内にデータ漏えいを報告する義務が生じる。ここでいうEUデータ主体とは、EU加盟28カ国の国民と居住者を指す。

　漏えいの通知に関する手順を既に有する企業であっても注意が必要だ。GDPRのデータ漏えい通知に関する新しい規則では、そのプロセスが早まる。監督機関への通知は、これまでよりもはるかに迅速に行うことが求めらる。侵害されたデータに関係するユーザーへの通知も必要になる。

　マーク・フランス氏は、クラウドメールセキュリティ企業のMimecastで、シニアバイスプレジデント、CTOおよびGDPRコンプライアンス部門のデータ保護担当者を兼任する。本稿では、データ侵害を受けた可能性があるユーザーとEUの監督機関に漏えいの可能性を通知するタイムラインが、新しいGDPRデータ漏えい通知規則を受けてどのように変化するかについて、同氏に話を聞いた。

併せて読みたいお薦め記事

GDPRへの対策

GDPRの金銭的制裁

　フランス氏に問い掛けたのは、GDPRデータ漏えい通知規則によって、漏えい通知全般の見通しがどのように変わるかと、そのためにどのような準備を行えるかだ。以下に同氏の答えを紹介する。

マーク・フランス氏　米国48州には、それぞれデータ漏えいの通知に関する一式の法律があり、その通知に必要なタイムラインも異なる。タイムラインの重要な指針やトリガーになるのは、漏えいの発生を実際に把握した時点だ。

　漏えいが明らかになる流れを考えてみよう。漏えいという事象が発生する。一部のデータが外部で取得される。社内のセキュリティチームが調査を開始する。大量の情報を選別する。場合によっては、MandiantやCrowdStrikeに調査を依頼する。大量のレビューを行う。そして「やっぱり、データは漏えいしている」とつぶやく瞬間が訪れる。

　そして、この時点から時計が回り始める。この流れは1日で終わる場合もあれば、調査に2週間かかる場合もある。だが、漏えいが実際に起こったとある程度確信するのが一般的だ。そしてその時点から通知義務が始まる。影響を受ける個人がいると考えられる全ての州で漏えい通知プロセスを開始する。

　GDPRのデータ漏えい通知の課題は、通知義務がもっと早くから始まることだ。実際には、漏えいの発生を確認した時点ではなく、漏えいが発生したかもしれないと考えた時点で即座に監督機関に通知することを求めている。

　セキュリティ制御センターに情報が入り、企業のデータベースからデータ漏えいが発生した可能性がある事象が確認される。この事象を確認した時点で時計が回り始める。実際に漏えいを確認した時点ではない。72時間という期間は、最初の例で示した2週間後ではなく、流れの初日に始まる。

　そのためタイミングの問題が生じる。多くの関係者は、こうした通知を期間内のかなり早い時点で行うように強いられることになる。1つ微妙な違いがある。GDPRの場合、期間内に求められるのは監督機関への通知だ。つまり、データ主体への実際の通知ではなく、EUの情報委員への通知が求められている。

　漏えいに関する米国の法令の場合、監督機関に通知する時点で、影響を受けるデータ主体に通知する措置を既に講じ始めていると見なされる。それは、漏えいについて確認済みであるためだ。なお、米国の監督機関はマサチューセッツ州コモンウェルスの司法長官になる。GDPRの場合、72時間の開始時点では漏えいを確認していない可能性があり、影響するデータ主体を確認できているとは限らない。

　求められるのは、72時間以内に監督機関に知らせることだ。監督機関への通知は非常に早まるが、データ主体への通知は環境内で実際に漏えいが起こったことを確認した時点でよいと考えられる。監督機関への通知は非常に早められる。だが、データ主体への通知は必ずしも早める必要はないだろう。

TechTargetシャパントップセキュリティ