第33条は「監督機関に対する個人データ侵害の通知」です。
この「監督機関に対する個人データ侵害の通知」に関しては、第29条作業部会により作成されたガイドラインが採択され、個人情報保護委員会はその仮訳を以下のように公表しております(2022年11月現在)。
規則に基づく個人データ侵害通知に関するガイドライン(個人情報保護委員会の仮訳)
このガイドラインの更新版(内容的にはほぼ変更なし)が2022年10月に公表され、2022年11月現在、パブコメ中の状態になっております。
ここでは、このパブコメ中のガイドラインも引用しておりますが、今後更新される可能性もありますのでご注意ください。
第33条:監督機関に対する個人データ侵害の通知
1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
個人データの侵害が発生した場合、その侵害が自然人の権利・自由に対するリスクを発生させる恐れがない場合を除き、不当な遅延なく、かつ、実施可能な場合には、その侵害に気づいた時から遅くとも72時間以内に、第55条(職務権限)に従って所轄の監督機関にその侵害について通知しなければなりません。
また、監督機関への通知が72時間以内に行われなかった場合には、遅延した理由も付けて通知しなければなりません。
前文にも個人データ侵害に関する通知について解説している箇所があるので、以下に引用します。
個人データ侵害は、適切かつ適時の態様で対応が行われないと、自然人の個人データに対する管理の欠落又は自然人の権利制限の喪失、差別、ID盗取又はID詐欺、金銭上の損失、無権限による仮名の復元、信用の毀損、職務上の守秘義務によって保護された個人データの機密性の喪失、又は、関係する自然人に対するその他の重要な経済的若しくは社会的不利益といったような、自然人に対する物的な損失、財産的な損失若しくは非財産的な損失をもたらしうる。それゆえ、個人データ侵害が発生したことに管理者が気づいたならば可能な限り速やかに、説明責任の原則に従い、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがないということを管理者が証明できる場合を除き、その管理者は、監督機関に対し、不当な遅滞なく、かつ、それが可能であるときは、それに気づいた時から遅くとも72時間以内に、その個人データ侵害を通知しなければならない。72時間以内にその通知を完了できない場合、その遅延の理由をその通知に付さなければならず、そして、更なる不当な遅延なく、同時に情報を提供しうる。
一般データ保護規則(GDPR)の前文第85項 個人情報保護委員会にる仮日本語訳
日本でも令和二年の個人情報保護法の改正にて、漏えい等が発生し、それが個人の権利利益を害するおそれが大きいと考えられる場合(規則で規定)には、その内容を個人情報保護委員会に報告する義務が課せられましたが、その報告の「速報」は漏えい等の事態(おそれを含む)を知った時点から概ね3~5日以内に行うこととされました(「確報」は原則30日以内)。
GDPRの方が期限が早いので、EUを含めたグローバルな臨床試験の場合では、日本の個人情報保護法よりGDPRの期限を意識する必要があると言えます。
2022年10月31に、大阪急性期・総合医療センターがランサムウェアにより攻撃され、電子カルテシステムが利用できなくなる状態になりました。
「Guidelines 9/2022 on personal data breach notification under GDPR」によると、この状態は個人データの損失(loss)に該当し、GDPR第4条第12項の「個人データ侵害」(“personal data breach)の定義に該当するため、この第33条の対象となることになります。
また、同ガイドラインの中では、
病院での事例として、患者に関する重要な医療データが、一時的にでも使用できなくなった場合、手術が延期される、生命が危険にさらされる等、個人の権利及び自由に対するリスクが生じる可能性がある。
と、第33条第1項に該当する「通知が求められる事例」として解説しています。
2. 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。
処理者が個人データの侵害に気が付いた時は、不当な遅延なく、管理者に対して通知しなければなりません。
3. 第1項で定める通知は、少なくとも、以下のとおりとする:
(a) 可能な場合、関係するデータ主体の類型及び概数、並びに、関係する個人データ記録の種類及び概数を含め、個人データ侵害の性質を記述する;
(b) データ保護オフィサーの名前及び連絡先、又は、より多くの情報を入手することのできる他の連絡先を連絡する;
(c) その個人データ侵害の結果として発生する可能性のある事態を記述する;
(d) 適切な場合、起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置又は講ずるように提案された措置を記述する。
第1項で定められた通知では、少なくとも、以下の(a)から(d)の内容を含めなければなりません。
- (a) 可能な限り、関連するデータ主体の類型とその概数や、関係する個人データの記録の種類とその概数、といった個人データ侵害の性質(内容)
- (b) データ保護オフィサー(DPO)の名前と連絡先、その他、より多くの情報を入手することができる連絡先
- (c) 発生した個人データ侵害により起こりうる事態
- (d) 適切な場合、起こりうる悪影響を低減させるための措置を含め、事態への対応のために管理者によって講じられた、または提案された措置の内容
4. 同時に情報を提供できない場合、その範囲内において、その情報は、更なる不当な遅滞なく、その状況に応じて提供できる。
一気に必要な情報を提供できない場合には、更なる不当な遅延をすることなく、その状況に応じて提供することができるとされています。
5. 管理者は、その個人データ侵害と関連する事実関係、その影響及び講じられた救済措置を含め、全ての個人データ侵害を文書化しなければならない。その文書は、本条の遵守を検証するために、監督機関が利用できるものとしなければならない。
管理者は、その個人データ侵害についての事実関係、その影響および講じられた救済措置を含め、全て事柄について文書化しなければなりません。
またその文書は、本条の検証ができるよう監督機関が利用できるようにしなければなりません。
以上、第33条の「監督機関に対する個人データ侵害の通知」でした。
