EDPB(欧州データ保護会議)が2022/10/10に、個人データ漏えい時の当局に対する通知ガイドライン改訂案を採択、パブコメを開始した。EU域外での個人データ漏えい時の対応がより厳しくなる。

採択されたのは「Guidelines 9/2022 on personal data breach notification (個人データ漏えい通知に関する2022/9ガイドライン)」。

Guidelines 9/2022 on personal data breach notification under GDPR | European Data Protection Board

これによって2017/3に旧第29条作業部会が作成、採択されていた同じガイドライン「Guidelines on Personal data breach notification under Regulation 2016/679」が廃止される。

ARTICLE29 - Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

といっても、改訂されたのは一か所だけ。

EU域外でGDPRの保護対象となるデータ主体の個人データ漏えいが起こった場合を定めた、Section II.C.2の第73段落部分のみだ。(なお今回の新ガイドラインはすべての段落に番号がふられているが、旧ガイドラインに段落番号はない)

旧第29条作業部会ガイドラインの該当部分はこんな内容。

第29条作業部会は、(データ漏えい時は)コントローラーの代表者が存在するEU加盟国の監督当局に通知するよう推奨する。

新ガイドラインの該当部分はこんな内容。

コントローラーの代表者が一つのEU加盟国に存在しさえすれば、ワンストップ制度が発動されるわけではない。このため、漏えいの影響をうけたデータ主体が居住する、すべてのEU加盟国の監督当局に通知する必要がある。この通知はコントローラーがその代表者に課す義務を遵守し、コントローラーの責任のもとで行われなければならない。

たとえば、日本企業がGDRP対応でドイツ拠点に代表者を置いている状態で、日本でドイツ、フランス、イタリアの居住者をふくむ個人データ漏えいを起こしてしまった場合を考えてみる。

いままでは代表者がいるドイツの監督当局に通知すればよかったが、今後はドイツ、フランス、イタリアの監督当局それぞれに通知する必要があるということになる。

通常時のGDPR対応においては、代表者が設置されているEU加盟国の監督当局に対してワンストップでおこなうことができるが、いざ個人データ漏えいとなると、ワンストップは許されず、関係するすべてのEU加盟国の監督当局への通知が必要となるらしい。

ちなみに当然のことだが、日本がGDPRの十分制認定を受けているからといって、個人データ漏えい時の通知が免除されるわけではないので、日本も今回の対応が必要になる。