オランダのDPAがGDPRに関わるレポートを出していました。
www.huntonprivacyblog.com
2019年1月29日、オランダのデータ保護当局(Autoriteit Persoonsgegevens、「オランダのDPA」)が報告を発表しました。(オランダ語)2018年に受信した個人情報侵害の通知(「報告」)。EU一般データ保護規則(「GDPR」)は、データ管理者に、気付いてから72時間以内に個人データの漏洩を管轄のデータ保護当局(「DPA」)に通知するよう要求しています。オランダでは、この侵害通知要件は2016年1月1日から制定されています。ただし、GDPRは次のような追加要件を課しました。侵害通知に特定の情報を提供する。違反がその個人の権利と自由に高いリスクをもたらす可能性がある場合、影響を受ける個人に通知するというデータ管理者の義務。企業は個人データの侵害を文書化する義務があります。
2018年、オランダのDPAが受信したデータ漏洩/侵害通知の数は2倍になり、合計で20,881件の侵害通知がありました。最も影響を受けたセクターは、健康と福祉セクター(違反の29%が通知)、金融セクター(違反の26%が通知)、公共セクター(違反の17%が通知)です。63%の事例で、この侵害は誤ったEメールアドレスに送信された個人データに関連していました。残りの37%のケースは、個人データの損失(ラップトップの紛失やUSBメモリの紛失など)、ハッキング、フィッシング、マルウェアによるものです。影響を受ける個人データの種類は、ほとんどの場合、データ主体の名前と連絡先の詳細、性別、健康データ、および国民識別番号です。
報告書の中で、オランダのDPAは、通知できなかったすべての個人データ侵害について企業が通知を提供しなかったことを示しています。例えば、特定の会社は、個人データ侵害の影響を受けた個人に知らせていましたが、管轄のDPAにその侵害を通知していませんでした。その結果、2018年にはより多くの個人情報漏えいがオランダのDPAに通知されるはずであり、オランダのDPAは2019年にこれに特に焦点を当てることを示唆しました。
(HUNTON ANDREWS KURTH記事より引用)※機械翻訳
◆キタきつねの所感
GDPR系で気になったので、この記事を取り上げてみます。まず気になるのが、データ侵害についての管轄当局(DPA)への告知と、それに併せてデータ侵害についての文章を公表しなければいけない部分です。
GDPR施行の初年度である2018年は事件が通知されなかった件が多いと、オランダ当局(DPA)は捕らえているようです。
2019年は個人に通知されるデータ侵害と、関係当局に通知されているかのチェックがより厳しくなる、そう考えると、告知すべきかどうか、判断が出来かねてミスをしてしまう日本企業が居たとすると、かなり手痛いペナルティを食らう可能性もありそうです。
更に記事を読んでいくと、
2018年5月25日以降、オランダのDPAは、報告された個人データの侵害の298件において、報告会社に対して訴訟を起こしました。これらの訴訟のいくつかはまだ係争中です。一般的に、これらの行動は警告をもたらし、それは違反を終わらせる。4つのケースでは、オランダのDPAは通知に応じて調査を行いました。
(HUNTON ANDREWS KURTH記事より引用)※機械翻訳
先日、GDPRの記事を書きましたが、オランダの管轄で捕らえても300件近いGDPR違反事件(候補)があった様です。欧州の顧客データ、社員データが無かったとしても、例えば欧州の旅行客の個人情報・・・と考えると旅行業なども注意しなければいけない法律です。
何も準備をしてない対象企業いないとは思いますが、個人情報が漏洩しない様に対策・システムの見直しを定期的にしていく事が重要だと思います。
foxsecurity.hatenablog.com
更新履歴
