漏洩通知とは
この記事は約 2 分で読めます
漏洩通知 (Breach Notification) とは、データ漏洩が 発生した際に、影響を受ける個人や監督当局に対して一定期間内に通知する法的義務のことです。GDPR の施行 (2018 年) を 契機に世界各国で義務化が進み、通知の遅延や不備には高額の制裁金が科されるケースが 増えています。セキュリティインシデントへの技術的対応だけでなく、法務・広報・経営を 巻き込んだ組織横断の対応プロセスが求められる領域です。
歴史的背景
漏洩通知の法制化は 2003 年のカリフォルニア州 SB-1386 が世界初とされています。 当時は通知義務の概念自体が新しく、多くの企業が漏洩を公表せずに済ませていました。 その後、 2018 年に EU の GDPR が 72 時間以内の当局通知を義務化したことで、 グローバル企業にとって漏洩通知は避けて通れない法的要件となりました。 日本でも 2022 年の個人情報保護法改正により、漏洩等の報告・通知が義務化されています。
主要法規制の通知要件比較
| 項目 | GDPR (EU) | 個人情報保護法 (日本) | CCPA/CPRA (米カリフォルニア) |
|---|---|---|---|
| 当局への通知期限 | 認知から 72 時間以内 | 速報: 3〜5 日以内 / 確報: 30 日以内 | 合理的な期間内 (明確な時間制限なし) |
| 本人への通知 | 高リスク時は遅滞なく | 原則として通知義務あり | 遅滞なく通知 |
| 対象となる漏洩 | 個人データの侵害全般 | 要配慮個人情報、 1,000 人超、不正目的等 | 暗号化されていない個人情報 |
| 制裁金の上限 | 全世界売上の 4% または 2,000 万ユーロ | 命令違反に 1 億円以下の罰金 | 1 件あたり $7,500 (意図的違反) |
| 通知先 | 監督当局 (DPA) | 個人情報保護委員会 | カリフォルニア州司法長官 |
通知のタイムラインと必須記載事項
通知には以下の情報を含める必要があります。漏洩の性質と影響を受けるデータの種類、 影響を受ける人数の概算、想定されるリスクと影響、講じた対策と今後の対応計画、 そして問い合わせ先の連絡先です。インシデントレスポンスの 体制が整っていないと、これらの情報を 72 時間以内に揃えることは極めて困難です。
通知遅延のリスク
通知の遅延は制裁金だけでなく、企業の信頼を根本から毀損します。 2019 年の British Airways の事例では、 GDPR 違反により約 2,000 万ポンドの 制裁金が科されました。 Uber は 2016 年の漏洩を 1 年以上隠蔽し、 最終的に 1 億 4,800 万ドルの和解金を支払っています。 日本でも通知義務違反は行政指導や勧告の対象となり、企業名の公表によるレピュテーション リスクが伴います。コンプライアンスの 観点から、平時の準備が決定的に重要です。
実務での備え
「漏洩通知の訓練を年 2 回実施しています。模擬インシデントで 72 時間以内に 通知文書を完成させる演習を繰り返すことで、実際のインシデント時にも冷静に 対応できる体制が整いました。」
実務上のポイントは、通知テンプレートの事前準備、法務・広報・IT の連携フロー、 そして定期的な訓練です。個人情報の 取り扱い範囲を日頃から把握しておくことで、漏洩時の影響範囲特定が迅速になります。 インシデント対応の全体像は個人向けインシデント対応ガイドで、 漏洩発生時の具体的な手順はデータ漏洩対応の実践ガイドで 解説しています。インシデント対応の実務書 (Amazon)も実践的な知識の習得に役立ちます。
よくある誤解
「暗号化していれば通知不要」と考える企業がありますが、これは法域によって異なります。 CCPA では暗号化されていないデータの漏洩のみが通知対象ですが、 GDPR では 暗号化の有無にかかわらず個人データの侵害は報告対象です。 また「漏洩の規模が小さければ通知しなくてよい」という誤解もありますが、 日本の個人情報保護法では要配慮個人情報が 1 件でも漏洩すれば報告義務が生じます。 プライバシー設定の見直しはプライバシー設定ガイドも 参考にしてください。
この記事は役に立ちましたか?