政府は、今年3月に発表された最新の「サイバーセキュリティ侵害調査」で、39%の企業が調査前の12ヶ月間にサイバーセキュリティ侵害や攻撃を受けたと報告しており、侵害は企業にとって多額の費用が発生する「深刻な脅威」であると述べています。
データ侵害とは?
データ侵害には以下の3つのタイプがあります。
1. 「機密性の侵害」アクセスすべきではない個人データに誰かがアクセスしてしまうことで発生する侵害。例えば、個人データを誤った相手に電子メールで送信してしまった場合や、ハッキング事件など。
2. 「完全性の侵害」個人データを変更する権限を持たない人が個人データを変更した場合に生じる侵害。例えば、従業員が誤ってデータを変更してしまった場合など。
3. 「可用性の侵害」データにアクセスできなくなり、それが偶発的または不正に行われた場合に起こる侵害。例えば、サーバーの故障によりデータにアクセスできなくなった場合など。
データ侵害が起こった場合どうすれば良いのでしょうか?
データ侵害が発生した場合、できるだけ早く調査を行い、何が起こったのかを判断し、何をすべきかを評価し、ICO(英国個人情報保護監督機関)に報告を行う場合に必要な情報を収集することが重要です(下記参照)。
ICO(英国個人情報保護監督機関)への通知は必要でしょうか?
データ侵害が個人の権利と自由を脅かす可能性がある場合、ICOに報告する必要があります。侵害を報告する必要があるかどうかを判断するには、リスク分析を行う必要があり、これには多くの異なる要因を調べる事が含まれます。ICOへの通知が必要であったにも関わらず、データ侵害の通知を怠った場合、最高870万ポンドまたは世界での年間売上高の2%の罰金が科せられます。
報告を行う場合、侵害に気づいたときから72時間以内に行わなければなりません。違反を報告しないと決めた場合は、いずれにせよそれを文書化する必要があります。
個人に通知する必要がありますか?
違反により個人の権利と自由に高いリスクが生じる可能性がある場合、個人に通知する必要があります。これはICOへの通知よりも高い基準であり、潜在的なリスクの性質、その重大性、およびそれらが発生する可能性を判断する必要があります。
潜在的なデータ侵害に備えるためには、どのようなステップを踏めばよいのでしょうか?
検討すべき手順の例は以下の通りです。
1. 事業のデータ保護監査(保有する個人データとその取り扱いについての調査)を実施。個人データの取り扱いについての理解を深め、リスクのある分野を特定するのに役立ちます。また、ポリシーや手順が守られているかどうかを確認し、コンプライアンス上の問題を特定するのにも役立ちます。
2. 従業員のトレーニング。
3. データ侵害が発生した場合に何をすべきか、誰に相談すべきかについての従業員への周知。
4. リスク軽減の為の手順の導入。
5. システムや手順のテスト。
6. 既存の契約を見直し、データ処理者が責任を負うデータ侵害に関して、データ処理者が適切な義務を追っているかを確認。
7. データ侵害が発生した場合の対処方法を定めたデータ侵害ポリシーの導入。
8. 必要に応じた、Data protection Impact assessment (DPIA(データ保護影響評価))の実施。
9. 保険の見直しと、適切な保護が確保されている事の確認、必要に応じてサイバー損害賠償責任保険などの他の保険の手配の検討。
10. 過去に発生した侵害の原因を理解とそこから学んだ事の認識。
潜在的なデータ侵害に対する準備やGDPR遵守に関する詳細な情報が必要な場合は、弊所までお問い合わせ下さい。
