前回の記事では、EUではGDPRに過剰反応している企業が多く、特に英国の場合、情報漏えいが発生しても、実際に罰金を支払っている例がかなり少ないことをご紹介しました。

これは規制当局が仕事をサボっているわけでも、GDPRの規制を曲解しているからでもありません。GDPRの内容を詳しく読むと、実はその運用は企業側の状況にかなり配慮したものであることがよくわかります。

ーーーーーーーー

第33条 個人データ侵害の監督機関への通知

Article 33 Notification of a personal data breach to the supervisory authority

1. 個人情報の漏えいが発生した場合、管理者は遅延することなしに、可能な場合、侵害に気が付いてから72 時間以内に、第55 条より、個人情報の侵害を管轄監督機関に通知する必要がある。しかしながら、個人情報の侵害により自然人の権利又は自由に対する危険が発生する場合は除く。通知が72 時間以内にされない場合は、遅滞に関する理由と共に、漏えいを通知しなければならない。

1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

2. 情報処理者は個人情報の漏えいに気付いた後、不適切な遅滞なしに管理者に通知しなければならない。

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

ーーーーーーー

特に注目されるべきなのが、情報漏えい報告は「where feasible, not later than 72 hours after having become aware of it」という点です。

つまりこれは詳しく読むと

「適切な場合、情報漏えいに気がついてから72時間以内に報告する」

ということです。

英文なのでわかりにくいのですが、ここで重要な点は「where feasible」という表現です。

つまり、その組織の規模や人員、技術力等の「置かれた状況」、災害や停電などの「外部要因」を鑑みた上で、「できる限り72時間以内に報告するように」となっているわけです。

「not feasible」＝「可能ではない場合」

の解釈がかなり大きく、現実的に可能であるかどうか、ということを企業側が証明する余地が残されています。

GDPRは内容がかなり細かく、企業側に有無をいわせずに情報漏えいを罰するような印象がありますが、実際の運用では、現実的な解決策を採る努力を最大限していれば良い、ということをEU側が考慮していることがよくわかります。

例えばこれは、社員が3人しかいないアプリ開発会社で情報漏えいが起きた場合、大企業に比べるとマンパワーが圧倒的に不足しているわけですから、漏えい発生から72時間以内に当局に報告するのは至難の業です。そこで期限通りに報告できなくても、「努力はした」ということが証明できればよいわけです。

規制当局側は次回からはこのような手段を取りなさい、こんな体制を整えなさい、という「助言」「勧告」「注意」をすることになります。

一方でこれがGoogleやAppleのようなお金や人が豊富な巨大企業だった場合は、迅速な対応を行わない場合は、規制当局から厳しく責任を追求されることになります。この点は、欧州的なバランス感覚に優れた規制と言えるのではないでしょうか。

前回の記事では、英国のThe Information Commissioner’s Office (ICO)が、GDPR違反で報告があった企業の大半は、違反に当たらず、漏洩があった場合も罰金刑はほとんどなく、「助言」「勧告」「注意」で済んでいるというのと整合性があります。