GDPRのお勉強（第34条：データ主体に対する個人データ侵害の連絡）

　第34条は「データ主体に対する個人データ侵害の連絡」です。

　この「監督機関に対する個人データ侵害の通知」に関しては、第29条作業部会により作成されたガイドラインが採択され、個人情報保護委員会はその仮訳を以下のように公表しております（2022年11月現在）。

規則に基づく個人データ侵害通知に関するガイドライン（個人情報保護委員会の仮訳）

　このガイドラインの更新版（内容的にはほぼ変更なし）が2022年10月に公表され、2022年11月現在、パブコメ中の状態になっております。

Guidelines 9/2022 on personal data breach notification under GDPR | European Data Protection Board

　ここでは、このパブコメ中のガイドラインも引用しておりますが、今後更新される可能性もありますのでご注意ください。

第34条：データ主体に対する個人データ侵害の連絡

1. 個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。

　個人データの侵害が発生した場合、それが自然人の権利・自由に対して高いリスクを発生する可能性がある場合であれば、管理者はデータ主体に対して、不当な遅延なく、その個人データ侵害を連絡しなければならないとされています。

　第33条第1項の監督機関への通知では「自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き」必要であったのに対し、データ主体に対する連絡は「高いリスクを発生させる可能性のある場合」において求められています。

　また、監督機関への通知では原則72時間以内という時間的制約がありましたが、データ主体に対してはその記述がありません。

第33条において監督機関に対しては「Notification」（通知）が求められていますが、第34条においてデータ主体に対しては「Communication」（連絡）という表現になっている違いから、その趣旨に違いがあることを読み取ることができます。

　このように、個人データ侵害時に連絡が求められる範囲や方法に違いがあることについては、前文第89項にて以下のように説明されています。

指令95/46/ECは、監督機関に対して個人データの取扱いを通知すべき一般的な義務を定めた。その義務は、管理上及び資金上の問題を生じさせる一方で、全ての場合において、個人データ保護の向上に寄与しなかった。それゆえ、そのような無限定の一般的な通知義務は廃止されなければならず、そして、それに代えて、取扱業務の性質、範囲、過程及び目的のゆえに自然人の権利及び自由に対する高いリスクをもたらすことが予想される種類の取扱業務に焦点を絞った実効的な手続及び仕組みによって置き換えられるべきである。（後略）
一般データ保護規則（GDPR）の前文第89項　個人情報保護委員会にる仮日本語訳

　GDPRの前身の一般データ保護指令の時代には監督機関に対して一般的義務を定めていたものの、管理上・資金上の問題があった一方で、そうさせることが個人データ保護に繋がらなかったため、GDPRでは取扱業務の性質・範囲・過程・目的から自然人の権利・自由に与えるリスクが高い場合に絞り、実効的な制度にすることが目的にあるようです。

　ここでのリスクの評価については、「侵害が個人に与える影響の結果としてのリスク」に全面的に焦点が当てられます。
　また、一般的に医療データはリスクの高いデータとして考えられていますが、侵害の内容についてそのリスクの高さは変わりうるともされています。
　例えば、「Guidelines 9/2022 on personal data breach notification under GDPR」の中では、以下のような説明がされています。

発生した侵害の種類が、個人に対するリスクの水準に影響することがある。例えば、医療情報が無権限の者に開示された秘密侵害は、ある個人の医療情報の詳細が喪失し、利用不能となったという侵害とは異なる結果を個人にもたらしうるのである。

　さらにポイントの一つとして「個人の特定の容易性」が挙げられており、仮名化は個人が侵害の結果として身元特定されるおそれを低減することができるとされているものの、仮名化技術だけでは、データを判別不能とするものとして扱うことはできないとも説明されています。

2. 本条第1項で定める示すデータ主体に対する連絡は、明確かつ平易な言語でその個人データ侵害の性質を記述し、かつ、少なくとも、第33条第3項(b)、(c)及び(d)に規定された情報及び勧告を含める。

　データ主体に連絡する場合は、明確で分かりやすい言葉で個人データ侵害の内容を記述しなければならず、その内容には第33条第3項(b)、(c)および(d)の情報や勧告を含んでおく必要があります。

(b) データ保護オフィサーの名前及び連絡先、又は、より多くの情報を入手することのできる他の連絡先を連絡する；
(c) その個人データ侵害の結果として発生する可能性のある事態を記述する；
(d) 適切な場合、起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置又は講ずるように提案された措置を記述する。
一般データ保護規則（GDPR）の条文第33条第3項　（個人情報保護委員会の仮日本語訳）

3. 第1項で定めるデータ主体に対する連絡は、以下の条件に合致する場合、これを要しない：

(a) 管理者が適切な技術上及び組織上の保護措置を実装しており、かつ、当該措置、特に、暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合；

(b) 管理者が、第1項で定めるデータ主体の権利及び自由に対する高いリスクが具体化しないようにすることを確保する事後的な措置を講じた場合；又は、

　第1項で求められる「自然人の権利・自由に対して高いリスクを発生する可能性がある場合」であっても、以下に合致する場合は免除されています。

(a) 侵害された個人データに対して、管理者が適切な技術的・組織的保護措置を実装しており、かつ、特に暗号化のような個人データの識別ができないような措置がなされていた場合
(b) データ主体の権利・自由に対する高いリスクが具体化しないよう事後的な措置が講じられた場合
(c) データ主体への連絡に課題な負担を要する場合（データ主体への連絡先を有していない、など）。その場合には、広報やそれに類する方法で、データ主体に平等で効果的な通知方法に変更できる。

第33条第1項でも、第34条第1項でも、個人データ侵害により権利・自由のリスクに晒される対象を自然人（natural persons）としているのですが、第3項(b)では「データ主体の権利及び自由に対する高いリスク（the high risk to the rights and freedoms of data subjects）」とデータ主体（data subjects）となっている違いに、どのような意味があるのかは個人的に疑問を持っています。

4. 管理者がデータ主体に対して個人データ侵害をまだ通知をしていない場合、監督機関は、その個人データ侵害が高いリスクを発生させる可能性を検討した上で、その管理者に対し、そのようにすべきことを要求でき、又は、第3項で定める要件のいずれに該当するかを判断できる。

　監督機関は、管理者がデータ主体に対して個人データ侵害を連絡していない場合、その個人データ侵害が高いリスクのものかを検討したうえで、管理者に対してデータ主体への連絡を要求するか、まはた、第3項の例外条件に該当する旨を決定することができます。

個人情報保護委員会の仮訳では「個人データ侵害をまだ通知をしていない場合」と第4項だけ「通知」という用語が用いられておりますが、原文では「the controller has not already communicated the personal data breach」となっていることから、「個人データ侵害をまだ連絡をしていない場合」という意味で理解しても問題ないと思います。

　以下に第33条に関連する前文を引用しておりますので、ご参考にして下さい。

管理者は、当該個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させるおそれがあるときは、当該個人が予め必要な予防策を講じることができるように、データ主体に対し、不当な遅滞なく、個人データ侵害について連絡しなければならない。その連絡は、個人データ侵害の性質、並びに、関係する自然人に向けた潜在的な悪影響を低減するための勧告を記述しなければならない。そのようなデータ主体に対する連絡は、監督機関から提供されたガイダンス又は法執行機関のような監督機関以外の関連機関から提供されたガイダンスを尊重しつつ、可能な限り速やかに合理的に実現できるように、かつ、監督機関と密接に協力して、行われなければならない。例えば、損害発生の緊急のリスクを低減させる必要性があることは、データ主体への連絡を督促することになるが、他方、個人データ侵害の継続又は類似の侵害の発生に対抗するための適切な措置の実施の必要性があることは、さらに連絡する時間がかかることを正当化しうる。
一般データ保護規則（GDPR）の前文第86項　個人情報保護委員会にる仮日本語訳

個人データ侵害が発生したかどうかを迅速に確定するため、そして、監督機関及びデータ主体に対して速やかに連絡するための全ての適切な技術的な保護及び組織上の措置が実装されているか否かが確認されなければならない。特に、その個人データ侵害の性質及び重大性、その結果として生じる事態及びデータ主体に対する悪影響を考慮に入れた上で、不当な遅滞なく通知が行われたという事実が立証されなければならない。そのような通知は、本規則に定める監督機関の職務及び権限に従い、監督機関の介入を招くものとなりうる。
一般データ保護規則（GDPR）の前文第87項　個人情報保護委員会にる仮日本語訳

個人データ侵害の通知に適用可能なフォーマット及び手続と関係する規定を設ける際、ID詐欺又はそれ以外の形式による濫用行為が発生するおそれを実効的に抑制する適切な技術的保護措置によって個人データが保護されていたか否かを含め、個人データ侵害の状況について、十分な検討が加えられなければならない。さらに、そのような規定及び手続は、早い段階における開示が個人データ侵害の状況に関する捜査を不必要に妨げてしまう場合、法執行機関の正当な利益を考慮に入れなければならない。

一般データ保護規則（GDPR）の前文第88項　個人情報保護委員会にる仮日本語訳

　以上、第34条の「データ主体に対する個人データ侵害の連絡」でした。