GDPRの「72時間ルール」、この3日間で企業は何を求められるのか？：待ったなし！ GDPR対策（3/4 ページ）

個人データの安全管理措置とインシデント発生時の対応について解説する。GDPRで定められる「72時間ルール」。インシデント発生時に企業はこの3日間で何をしなければならないのか。

[土肥正弘，キーマンズネット]

インシデント発生時の対応と事前準備

　サイバー攻撃が日常化し攻撃手口も巧妙化している現在、システムのウイルス感染により個人情報が漏えいするといったセキュリティインシデントが絶えない。GDPRに関しては、侵害が発生してから「72時間以内」に監督機関への通知が義務付けられている。

　かつての日本年金機構の情報漏えい問題では、インシデントが発生してから公表までに約1週間を要した。これを考えると、発生から72時間（3日）という期限は非常に短く、事前の準備が不可欠だ。

　そのため、監督当局であるDPA（Data Protection Authority：EU加盟国のデータ保護機関）への通知を行う手順や、EU内の代理人との連絡体制、業務の委託／受託関係にある企業に対してはお互いの連絡体制を整備する必要がある。

　また、インシデントが発生してから30日以内に、権利を侵害された個人にも通知が必要なため（図4）、万が一情報が漏えいした場合に備えて、本人との連絡ルートを確保するなど、事前に対応事項を明確にしておくといいだろう。インシデント発生時は、初期対応だけでなく再発防止や改善策の検討といった恒久的な対応まで考える必要があるため、対応記録を残し、情報を整理しておくことが重要だ。

図4　情報漏えい（個人の権利侵害）発生後の対応の流れ（出典：PwCコンサルティング）

リスクベースで考えるGDPR対応

　情報セキュリティ対策においては、リスクに対して優先順位を付ける「リスクベース」の考え方をとる場合が多い。全てにおいて完璧な対策を講じることは難しいため、リスクの大小を考え、優先すべき事項を整理した上で対応策を検討するという考え方だ。GDPRのセキュリティ対策においても同様で、リスクベースの考えを基に、自社にとって重要なリスクを整理し、優先順位を付けた対応が重要だ。