« 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正 | Main | ENISA ポスト量子暗号 - 統合研究 »

2022.10.21

欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) がGDPRに基づく個人データ漏えい通知に関するガイドライン9/2022についての意見募集をしていますね。。。11月29日までです。。。

European Data Protection Board: EDPB

・2022.10.18 Guidelines 9/2022 on personal data breach notification under GDPR

 

どういう場合に、政府や個人に通知しなければならないかなど、色々と参考になる記述があるので、ぜひ一読を...と思います。(おそらく、大幅な変更なく、確定するでしょうし...)

 

例えば、暗号化された個人データも個人データだと記述している(76段落目あたりから...)のですが、これも色々な考慮事項があり、興味深いです。(といっても、日本のガイドラインの内容と同じような内容ですが。。。)

そういえば、最初に経済産業省の個人情報保護法のガイドラインを策定したときのことですが、暗号化された個人データも個人データであると書いたんですね。。。それは、

  • 考えれば必然的にそうなるのと、
  • 欧州でもそのような考え方であった、

からだったんですよね。。。だけど、みんなには評判悪かったですね。。。

 

・[PDF]

20221021-41030

・[DOCX] 仮訳

 

 

目次...

Guidelines 9/2022 on personal data breach notification under GDPR GDPRの下での個人データ侵害通知に関するガイドライン9/2022
TABLE OF CONTENTS 目次
0 PREFACE 0 前書き
INTRODUCTION イントロダクション
I. PERSONAL DATA BREACH NOTIFICATION UNDER THE GDPR I. GDRPに基づく個人データ漏えい通知
A. Basic security considerations A. セキュリティに関する基本的な考慮事項
B. What is a personal data breach? B. 個人データ漏えいとは?
1. Definition 1. 定義
2. Types of personal data breaches 2. 個人データ漏えいの種類
3. The possible consequences of a personal data breach 3. 個人データ漏えいがもたらす可能性のある結果
II. ARTICLE 33 - NOTIFICATION TO THE SUPERVISORY AUTHORITY II. 第33条:監督当局への通知
A. When to notify A. 通知するタイミング
1. Article 33 requirements 1. 第33条の要件
2. When does a controller become “aware”? 2. 管理者が 「認識」するのはどんな時か?
3. Joint controllers 3. 共同管理者
4. Processor obligations 4. 処理者の義務
B. Providing information to the supervisory authority B. 監督官庁への情報提供
1. Information to be provided 1. 提供する情報
2. Notification in phases 2. 段階的な通知
3. Delayed notifications 3. 通知遅延
C. Cross-border breaches and breaches at non-EU establishments C. 国境を越えた違反行為とEU域外の事業所における違反行為
1. Cross-border breaches 1. 国境を越えた違反
2. Breaches at non-EU establishments 2. EU域外の事業所での違反
D. Conditions where notification is not required D. 通知が不要な条件
III. ARTICLE 34 – COMMUNICATION TO THE DATA SUBJECT III. 第34条:データ対象者への通知
A. Informing individuals A. 個人への情報提供
B. Information to be provided B. 提供される情報
C. Contacting individuals C.個人への連絡
D. Conditions where communication is not required D. コミュニケーションを必要としない条件
IV. ASSESSING RISK AND HIGH RISK IV. リスク評価と高リスク
A. Risk as a trigger for notification A. 通知のトリガーとなるリスク
B. Factors to consider when assessing risk B. リスクを評価する際に考慮すべき要素
V. ACCOUNTABILITY AND RECORD KEEPING V. 説明責任と記録の保持
A. Documenting breaches A. 違反の文書化
B. Role of the Data Protection Officer B. データ保護責任者の役割
VI. NOTIFICATION OBLIGATIONS UNDER OTHER LEGAL INSTRUMENTS VI. 他の法的文書に基づく通知義務
VII. ANNEX VII. 附属書
A. Flowchart showing notification requirements A. 報告・通知要件を示すフローチャート
B. Examples of personal data breaches and who to notify B. 個人データ漏えいの例と報告・通知先

 

 

 

|

« 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正 | Main | ENISA ポスト量子暗号 - 統合研究 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正 | Main | ENISA ポスト量子暗号 - 統合研究 »