GDPR個人データ侵害通知:72時間ルールの解説(2026年)

GDPR第33条のもとでは、データ管理者は、個人データ侵害が個人にリスクをもたらす可能性がある場合、その侵害を認知してから72時間以内に所管の監督機関に通知しなければならない。この期限のカウントは、調査が完了した時点ではなく、管理者が侵害の発生について合理的な確信を得た時点から始まる。
個人データ侵害が発生すると、期限のカウントは直ちに始まる。GDPRのもとでは、データ管理者は、通知を要する侵害を認知してからわずか72時間以内に所管の監督機関に通知しなければならない。この期限を逃すこと自体が独立した違反となり、重大な制裁金につながりうる。Meta、Bank of Ireland、Permanent TSBに対する事案は、データ保護当局がこれを追及していることを示している。
規則(EU)2016/679第33条および第34条が、侵害通知の枠組みを定めている。個人データ侵害通知に関するEDPBガイドライン9/2022(バージョン2.0、2023年4月採択)、および付随する侵害事例に関するEDPBガイドライン01/2021は、すべてのEUおよびEEA監督機関が用いる権威ある解釈を提供している。
本ガイドでは、何が侵害に該当するか、それぞれの通知義務がいつ発動するか、何を記載すべきか、「認知」とは何を意味するか、処理者の役割、侵害登録簿の義務、よくある落とし穴、執行事例、そしてGDPRのルールが他の主要な枠組みとどのように比較されるかを解説する。
より広範な規制上の背景については、GDPRとは何かを参照されたい。コンプライアンス計画については、GDPRコンプライアンス・チェックリストを参照されたい。制裁金の範囲については、GDPRの制裁金と罰則を参照されたい。
本稿は情報提供のみを目的とするものであり、法的助言を構成するものではない。個別の状況に応じた助言については、資格を有するデータ保護分野の弁護士またはプライバシー専門家に相談されたい。
概要
72時間ルールとは、GDPR第33条(1)項を簡潔に言い表したものである。個人データ侵害が発生した場合、当該侵害が個人の権利および自由にいかなるリスクをもたらす可能性も低い場合を除き、管理者はこれを認知してから72時間以内に所管の監督機関に通知しなければならない。
72時間以内に通知を行うことができない場合であっても、可能な限り速やかに通知を提出し、遅延について理由を付した説明を添えなければならない。
第34条に基づく別個の義務により、管理者は影響を受ける個人に対しても直接通知することを求められる場合があるが、これは当該侵害が高いリスクをもたらす可能性がある場合に限られ、より高い閾値が適用される。
何が個人データ侵害に該当するか
GDPR第4条(12)項は、個人データ侵害を「送信、保存、またはその他の方法で処理されている個人データの、偶発的もしくは違法な破壊、喪失、改変、無権限の開示、またはアクセスにつながるセキュリティの侵害」と定義している。
欧州委員会およびEDPBの中小企業向けデータ侵害ガイドは、これを三つの種類のセキュリティインシデントに整理している。機密性、完全性、可用性の三要素である。
機密性の侵害
個人データの無権限または偶発的な開示、あるいはこれへのアクセス。例としては次のものがある。
- サイバー攻撃により顧客データベースへのアクセスが取得される
- 従業員が個人データを誤った宛先にメール送信する
- 盗難または紛失したノートパソコンに暗号化されていない個人データが含まれている
- 処理者のシステムが侵害され、第28条の契約に基づき共有されていたデータが露出する
- クラウドストレージのバケットが誤設定され、一般にアクセス可能な状態になる
完全性の侵害
個人データの無権限または偶発的な改変。例としては次のものがある。
- サイバー攻撃により医療記録が改変される
- ソフトウェアの不具合により給与データが破損する
- 権限のない利用者が無権限で顧客アカウントの詳細を編集する
可用性の侵害
個人データへのアクセスの偶発的または無権限の喪失、あるいはその破壊。例としては次のものがある。
- ランサムウェア攻撃によりデータベースが暗号化され、バックアップが利用できない
- サーバー障害により記録が復旧不能な形で永久に失われる
- 従業員がバックアップのないデータセットを誤って削除する
ランサムウェア攻撃は、三つの侵害類型すべてを同時に発生させうるため、特に重大である。暗号化されたデータは可用性の侵害にあたり、暗号化の前にデータが窃取されていた場合には機密性の侵害にもあたり、攻撃者が書き込みアクセス権を有していた場合には完全性も保証できない。
ICOによる個人データ侵害に関するガイダンスは、侵害には悪意ある意図が必要ではないことを強調している。個人データが影響を受ける限り、偶発的な喪失、人的ミス、システム障害もすべて該当する。
ランサムウェアとバックアップに関する留意点として、組織が検証済みのクリーンなバックアップを有し、個人に持続的な影響を及ぼすことなくデータを速やかに復旧できる場合には、ランサムウェアによる可用性の侵害について通知が不要となることがある。ただし、この判断は文書化されなければならず、組織はデータが窃取されていないことを確信していなければならない。判断に迷う場合には、通知するべきである。

72時間ルール:監督機関への通知(第33条)
中核的な義務
第33条(1)項は、当該侵害が「自然人の権利および自由にリスクをもたらす可能性が低い」場合を除き、管理者に対し、「不当な遅滞なく、かつ可能な場合には、これを認知してから72時間以内に」所管の監督機関に通知することを求めている。
この義務は二つの要素から成る。
第一に、迅速性である。通知は「不当な遅滞なく」、かつ可能な場合には72時間以内に行われなければならない。これらは別個の要件である。72時間という上限は、情報がそれより早く整っている場合に71時間まで待ってよいことを意味するものではない。
第二に、閾値である。個人に対して少なくとも何らかのリスクをもたらす可能性がある侵害のみが、この義務を発動させる。誰にも影響を及ぼす可能性が実際に低い侵害については、当局への通知は不要であるが、それでも内部で文書化しなければならない。
通知に記載しなければならない事項
第33条(3)項は、必要とされる情報を四つの区分で定めている。
- 侵害の性質: 影響を受けるデータ主体の区分およびおおよその人数、関係する個人データ記録の区分およびおおよその件数、侵害がどのように発生したか
- 連絡窓口: データ保護責任者(DPO)またはその他の連絡窓口の氏名および連絡先
- 想定される影響: 影響を受ける個人に対して当該侵害が及ぼす可能性のある結果の説明
- 講じた措置: 侵害に対処するために講じた、または講じることを提案する措置(生じうる悪影響を緩和するための措置を含む)
段階的な通知
第33条(4)項は、段階的な通知を明示的に認めている。72時間以内に全容が判明していない場合には、その時点で入手可能な情報をもって初回の通知を提出する。追加の詳細情報は、調査の進展に応じて「さらなる不当な遅滞なく」提供されるべきである。
これは、複雑なインシデントにおいて規制当局が管理者に用いることを期待している仕組みである。「調査継続中」と記した初回の通知を提出する方が、全容を待って72時間の期限を逃すよりもはるかに望ましい。
通知の方法
EDPBは、各国の監督機関の侵害通知ポータルの一覧を管理している。大半のデータ保護当局は、オンラインフォームを通じた通知を受け付けている。
ワンストップショップの仕組みのもとでは、EU域内に主たる拠点を有する管理者は、主管監督機関(管理者の主たる拠点が所在する加盟国のデータ保護当局)に通知する。侵害が特定の加盟国の個人に主として影響を及ぼす場合には、当該加盟国の当局にも通知される場合がある。
「リスクなし」の例外
侵害が「自然人の権利および自由にリスクをもたらす可能性が低い」場合には、通知は不要である。EDPBガイドライン9/2022は、これが限定的な適用除外であることを指摘している。個人データが関わる大半の侵害は、少なくとも何らかのリスクを伴う。判断が微妙な場合、EDPBは通知する方向に判断することを推奨している。
リスクを低減させ、通知不要という判断を支持しうる要素には、次のものがある。
- データが完全に暗号化されており、暗号鍵が漏えいしていない
- データがすでに一般に公開されており、露出によって追加的な害が生じなかった
- 侵害が直ちに封じ込められ、外部からのアクセスが確認されなかった
- 関係するデータの区分が機微でなく、侵害の期間が短かった
監督機関への通知を行わないと判断した場合であっても、当該侵害は引き続き侵害登録簿に記録しなければならない。
期限のカウントはいつ始まるか:「認知」の意味
72時間の期限のカウントは、管理者が侵害を「認知した」瞬間から始まる。侵害が始まった時点からでも、調査が完了した時点からでも、全容が判明した時点からでもない。
EDPBガイドライン9/2022は、認知を「個人データが漏えいする結果となったセキュリティインシデントが発生したことについて、管理者が合理的な程度の確信を有するに至った時点」と定義している。
実際の場面
侵入検知システム、ログ監視、またはSIEMが侵害を検知した場合、認知は、担当者がそのアラートを侵害の可能性を示すものとして確認し、認めた時点から始まる。誰も対応しない自動アラートを単に受信しただけでは、必ずしも認知には当たらないが、組織は、アラートが速やかに確認されるよう合理的な対応手続を備えていることが期待される。
処理者が最初に侵害を発見し管理者に通知した場合、管理者は処理者からの通知を受け取った時点で認知したことになる。期限のカウントは処理者がインシデントを発見した時点から始まるわけではないが、これは処理者が速やかに通知した場合に限られる。
外部の第三者(セキュリティ研究者、顧客、報道関係者など)が信頼できる形で侵害を報告した場合、管理者は、侵害の発生について合理的な程度の確信を得るに足る情報を受け取った時点で認知したことになる。
侵害の全容を確定するための調査が進行中であっても、期限のカウントは停止しない。管理者は、72時間の時点で入手可能な情報に基づいて通知を行い、調査の進展に応じてさらなる情報を補足しなければならない。
認知に関するよくある誤り
管理者は、調査の開始を期限のカウントの開始と誤って扱うことがある。これは誤りである。開封されたフィッシングメール、漏えいした認証情報、異常な活動を示すアクセスログは、調査が完了する前であっても、侵害が発生したことについて十分な確信を構成しうる。
データ保護当局は、侵害通知を行う前に調査を終わらせようとし、その結果72時間の期限を超過した組織に対し、まさにこの点を理由として制裁金を科してきた。とりわけフランスのCNILは、不十分なリスク評価や通知開始の遅延を、繰り返し見られる違反として指摘している。

データ主体への通知(第34条)
高いリスクという閾値
第34条(1)項は、侵害が「自然人の権利および自由に高いリスクをもたらす可能性がある」場合、管理者に対し「不当な遅滞なく」影響を受けるデータ主体に当該侵害を伝達することを求めている。
高いリスクという閾値は、監督機関への通知における「リスク」という閾値よりも、意味のある形でより高いものである。データ保護当局への報告を要するすべての侵害が、個人への通知も要するわけではない。
EDPBガイドラインは、管理者に対し、次の要素を比較衡量することによって高いリスクを評価するよう指示している。
- データの機微性: 医療データ、金融データ、生体データ、身分証明番号、子どもに関するデータは、リスクが高まる
- 量: 影響を受ける個人が多いほど、一般にリスクは高まる
- 識別の容易さ: 特定の個人に容易に結び付けられるデータは、より大きなリスクをもたらす
- 想定される結果: なりすまし被害、金銭的損失、差別、風評被害、身体的安全へのリスクは、いずれも高いリスクの認定を裏付ける
- 影響を受ける個人の特別な事情: 脆弱な立場にある集団(未成年者、患者、家庭内暴力の状況にある人々)は、より大きな潜在的な害に直面する
通知に記載しなければならない事項
データ主体への通知には、次の事項を伝えなければならない。
- 侵害の性質についての、明確かつ平易な言葉による説明
- データ保護責任者(DPO)またはその他の連絡窓口の氏名および連絡先
- 当該個人に対して想定される結果の説明
- 侵害に対処し、その影響を緩和するために講じた、または講じることを提案する措置
この通知は、個別の通知が不釣り合いな労力を要する場合を除き、影響を受ける各個人に対して直接送付されなければならない。個別通知が不釣り合いな労力を要する場合には、公表による通知、またはこれと同等に効果的な代替措置が求められる。
データ主体への通知に関する三つの例外
第34条(3)項は、高いリスクが存在する場合であっても個別通知が不要となる三つの状況を定めている。
第一に、暗号化またはこれに相当する保護である。管理者が、権限のない者に対して個人データを理解不能にする適切な技術的措置(暗号化など)を講じており、当該措置が侵害に関わるデータに適用されていた場合である。この例外が成立するためには、暗号化が堅固であり、暗号鍵が漏えいしていないことが必要である。
第二に、事後の緩和措置である。管理者が、個人に対する高いリスクがもはや現実化する可能性が低くなるよう、事後の措置を講じた場合である。例えば、認証情報が漏えいしたが、管理者が無権限の利用が生じる前に直ちにこれを無効化し、データが窃取された形跡がない場合などである。
第三に、不釣り合いな労力である。影響を受けるすべての個人を特定し、直接連絡することが不釣り合いな労力を要する場合、管理者は代わりに、通常は報道発表、ウェブサイトでの告知、またはソーシャルメディアでの発表といった、同等に効果的な形で個人に知らせる公表を行わなければならない。
処理者の義務(第33条(2)項)
データ処理者は、第33条(2)項のもとで独自の侵害通知義務を負う。個人データ侵害を認知した後、処理者は「不当な遅滞なく」管理者に通知しなければならない。
GDPRは、処理者から管理者への通知について固定された時間の上限を定めていない。もっとも、EDPBガイドライン9/2022は、処理者が自ら侵害を認知してから72時間以内に管理者へ通知することを目指すよう推奨している。監督機関に対する管理者の72時間の期限は、実質的に処理者からの適時の通知を受け取ることに依存しているためである。
契約上の意味
第28条に基づくデータ処理契約には、次の事項を定めておくべきである。
- 処理者から管理者への通知の最長期限(24時間が一般的な実務であり、72時間が実務上の上限である)
- 処理者が通知に含めなければならない最低限の情報(侵害の性質、影響を受けるデータの区分、対象となる個人のおおよその人数、想定される結果、初期の封じ込め措置)
- 監督機関への通知およびデータ主体への通知の準備について、処理者が管理者を支援する義務
- 監督機関による調査に協力する処理者の義務
- エスカレーション先の連絡先および時間外対応の手続
適時に管理者に通知せず、その結果管理者が72時間の期限を逃す原因となった処理者は、それ自体が規制当局の精査を受ける可能性がある。処理のセキュリティおよびデータ侵害通知に関するEDPBワンストップショップ事例集(2024年)は、越境事案において処理者の連鎖に不備があった場合にデータ保護当局がどのように対応してきたかを記録している。
侵害登録簿(第33条(5)項)
第33条(5)項は、監督機関への通知が必要であったか否かにかかわらず、すべての個人データ侵害を文書化することを管理者に求めている。この内部の侵害登録簿には、次の事項を含めなければならない。
- 侵害の事実関係(何が起きたか、どのように発見されたか、いつ発生し、いつ検知されたか)
- 影響を受ける個人に対する侵害の影響
- 講じた、または講じることを提案する是正措置
- 管理者によるリスク評価(個人へのリスクの可能性および深刻度の分析)
- 監督機関に通知する、またはしないことについての理由
- 該当する場合、データ主体に通知しないことについての理由
- 行われた通知の詳細(日付、内容、通知先の当局)
侵害登録簿は、監督機関の求めに応じて提示できるようにしておかなければならない。これは、管理者がGDPRを遵守して侵害に対応したことを示す主要な書面上の証拠である。調査や監査において、適切な登録簿が存在しないこと自体が違反として扱われる。
登録簿は安全に維持し、定期的に見直すべきである。大量の個人データを扱う組織は、侵害登録簿を一度限りの届出書類ではなく、継続的に更新される文書として扱うべきである。
よくある誤り
通知の前に調査の完了を待つこと。 これは最も頻繁に指摘される誤りである。期限のカウントは調査の終了時点ではなく、認知した時点から始まる。段階的な通知こそが想定されている仕組みである。72時間以内に入手可能な情報で初回の通知を行い、その後に補足する。
処理者の発見を自らの起算点として扱うこと。 処理者が通知の何日も前に侵害を発見していたとしても、あなたの72時間のカウントは処理者の発見日から始まるわけではない。しかし、処理者による通知の遅れによって期限を逃した場合、あなたと処理者の双方が規制当局の精査を受ける可能性がある。
小規模な侵害には文書化が不要だと思い込むこと。 どれほど軽微な侵害であっても、侵害登録簿への記載が必要である。異なるのは通知の閾値のみである。リスクの低いインシデントについて登録簿への記載を省略することは、監査で表面化するコンプライアンス上の欠陥である。
曖昧なリスク評価。 監督機関、特にフランスのCNILは、不十分なリスク評価をそれ自体独立した違反として指摘してきた。理由、データ量、影響を受ける区分、深刻度の分析を伴わずに「リスクは低いと評価した」と述べるだけでは不十分である。登録簿の記載は、その検討過程を示すものでなければならない。
高いリスクが存在するのにデータ主体に通知しないこと。 侵害が機微なデータに関わり、なりすまし被害、金銭的な害、差別といった現実的な脅威が存在する場合、管理者は暗号化の例外が適用される、あるいはリスクがすでに緩和されていると誤って想定することがある。判断に迷う場合には、個人に通知するべきである。
監督機関への通知の内容が不十分であること。 第33条(3)項は必要とされる内容を定めている。2024年12月のMetaに対する2億5,100万ユーロのDPC決定には、その侵害通知が第33条(3)項の求めるすべての情報を含んでいなかったとする具体的な認定、および侵害登録簿の文書化が不十分であったとする第33条(5)項に基づく別個の認定が含まれていた。不完全な通知は、遅延した通知とは別個の違反として扱われる。

執行事例
Meta:2億5,100万ユーロ(アイルランドDPC、2024年12月)
アイルランドのDPCは、攻撃者がFacebookの「View As」機能の脆弱性を悪用し、世界で約2,900万件(うちEU/EEA域内で約300万件)のアカウントのアクセストークンを窃取した2018年の侵害を受けて、Metaに2億5,100万ユーロの制裁金を科した。この制裁金は複数の違反から構成されている。Metaの通知が必要な情報のすべてを含んでいなかったことによる第33条(3)項違反について800万ユーロ、第33条(5)項に基づく不十分な侵害文書化について300万ユーロ、第25条に基づく不適切なシステム設計について1億3,000万ユーロ、そして既定の設定で必要なデータのみを処理することを怠ったことについて1億1,000万ユーロである。
このMetaの決定は、データ保護当局が、遅延した通知だけでなく、不完全な通知内容についても独立した制裁金を科すことを示している点で重要である。
Bank of Ireland:46万3,000ユーロ(アイルランドDPC、2022年3月14日)
アイルランドのDPCは、2018年11月から2019年6月の間に行われた22件の侵害通知に関する調査を経て、Bank of Irelandに46万3,000ユーロの制裁金を科した。DPCは、これらのインシデントのうち19件が個人データ侵害に該当すると認定した。ある一件の侵害だけで約4万7,000人のデータ主体が影響を受けたが、BOIの初回通知では影響を受けたのは1人のみと記載されていた。DPCは、BOIが不当な遅滞なく侵害を報告することを怠り、第33条(1)項に違反したと認定した。複数の事案において、侵害は内部で検知されていたにもかかわらずDPOへのエスカレーションが9日以上行われず、通知は72時間の期限を大幅に超えていた。
Permanent TSB:27万7,500ユーロ(アイルランドDPC、2026年5月)
アイルランドのDPCは、2022年5月以降に報告された個人データ侵害に関する調査を経て、Permanent TSBに27万7,500ユーロの制裁金を科した。これらの侵害は、悪意ある者が同行のOpen24コンタクトセンターに電話をかけ、部分的な顧客情報を用いて顧客になりすまし、口座の詳細にアクセスして改変したことにより生じた。制裁金のうち2万7,500ユーロは、PTSBが侵害を認知してから72時間以内にDPCに通知しなかったという第33条(1)項違反に特化したものであった。さらに25万ユーロが、関連する第5条および第32条の違反について科された。
Booking.com:47万5,000ユーロ(オランダDPA、2021年)
オランダのデータ保護当局は、Booking.comが4,000人を超える顧客の個人データ(金融情報やパスポートの詳細を含む)が露出した侵害を認知してから22日後にデータ保護当局へ通知したことを受けて、同社に47万5,000ユーロの制裁金を科した。この遅延は、独立した第33条(1)項違反として指摘された。この事案は、何が許容できない通知の遅延に当たるかについてのデータ保護当局のガイダンスにおいて、依然として重要な参照事例となっている。
他の法域との比較における侵害通知
GDPRの72時間ルールは、世界で最も厳格な侵害通知の期限の一つである。大まかな比較は次のとおりである。
| 法域 | 法律 | 当局への通知 | 個人への通知 | 発動条件 |
|---|---|---|---|---|
| EU/EEA | GDPR | 72時間 | 不当な遅滞なく(高いリスクの場合) | 個人に対するリスク |
| 英国 | UK GDPR | 72時間 | 不当な遅滞なく(高いリスクの場合) | EU GDPRと同様 |
| 米国(医療) | HIPAA | 60日 | 60日(500人以上の場合はメディアにも) | 保護されていない保護対象保健情報 |
| 米国(州) | 各州法 | 72時間から30日 | 不合理な遅滞なく | 個人情報の漏えい |
| カナダ | PIPEDA | 可能な限り速やかに | 可能な限り速やかに | 重大な損害の現実的なリスク |
| オーストラリア | NDB制度 | 30日 | 実行可能な限り速やかに | 重大な損害の可能性 |
NIS2との重複。 すべてのEU加盟国が2024年10月までに国内法化することを義務付けられたNIS2指令は、基幹事業者および重要事業者における重大なサイバーセキュリティインシデントについて、これとは別に、24時間以内の早期警告と、それに続く国内CSIRTまたは所管当局への72時間以内の完全な通知を義務付けている。GDPRとNIS2の双方の対象となる組織は、同一のインシデントについて二つの異なる当局に通知する必要が生じる場合がある。GDPR第33条に基づく監督機関(データ保護当局)と、NIS2の所管当局またはCSIRTである。両制度は異なる閾値および異なる必要記載内容を有している。
侵害対応の体制
侵害への対応に長けている組織は、通常、インシデントが発生する前に次の体制を整えている。
検知能力。 侵害を迅速に検知する技術的な能力がなければ、侵害通知の義務を満たすことはできない。侵入検知システム、SIEMツール、エンドポイントの監視、異常検知は、インシデント発生から数時間以内に関係するスタッフに届く、行動につながるアラートを生成すべきである。
指名された対応チーム。 インシデント発生前に役割を指定しておく。インシデント対応の統括者、IT・セキュリティ責任者、法務またはDPOの連絡先、広報担当、経営陣へのエスカレーション先である。全員が自らの役割を把握し、時間外でも連絡が取れる状態にあるべきである。
リスク評価の枠組み。 データの区分、対象人数、害の可能性、深刻度を網羅する事前承認済みの採点用テンプレートがあれば、チームは第33条および第34条の閾値評価を迅速かつ一貫して実施できる。この段階での速さは、72時間の期限を守れるかどうかに直接影響する。
通知のひな形。 インシデント発生前に、最も一般的な侵害の場面(認証情報の窃取、端末の紛失、システムの侵害、偶発的な開示)について、監督機関への通知様式およびデータ主体への通知文の草案を作成しておく。事前承認済みのひな形は、対応の際に貴重な時間を節約する。
処理者の手続。 主要な処理者が、文書化された侵害検知・通知手続を備えていること、その契約が通知の期限を定めていること、そして時間外のエスカレーション先の連絡先を有していることを確認する。
検証済みの侵害登録簿。 登録簿の様式は確立され、記入を担当する者に理解されているべきである。検証されていない登録簿には、監督機関の調査の際になって初めて明らかになる欠陥が含まれていることが多い。
机上演習。 少なくとも年に一回はシナリオ演習を実施する。検知から評価、通知、是正措置に至るまでの流れを実際に確認する。プロセスのどこに問題があるかを特定する。
通知スケジュールの目安
| 時間帯 | 対応 |
|---|---|
| 0時間目 | 侵害を検知、または担当スタッフへ報告 |
| 0~4時間 | 初期の封じ込め、証拠の保全、社内対応チームへの通知 |
| 4~24時間 | 影響を受けるデータ、おおよその量、侵害の種類を特定し、初期のリスク評価を実施 |
| 24~48時間 | 入手可能な情報をもとに監督機関への通知を準備 |
| 48~72時間 | 通知を提出(または、通知不要という判断を十分な理由とともに文書化し確定) |
| 72時間以降 | 調査の継続に応じて通知を補足、第34条のデータ主体への通知義務を評価、是正措置を実施 |
その他のGDPR関連ガイド
- GDPRとは何か 規則の包括的な概要
- GDPRコンプライアンス・チェックリスト 段階的なコンプライアンスガイド
- GDPRの制裁金と罰則 執行データと罰則体系
- GDPRデータ主体の権利 8つの個人の権利すべて
- GDPR同意要件 有効な同意の基準
- 中小企業のためのGDPR 中小企業向けの指針
- EUデータプライバシー法 EUデータ保護の完全な概要
Frequently Asked Questions
GDPRにおける72時間ルールとは何か。
第33条(1)項のもとでは、データ管理者は、個人の権利および自由にリスクをもたらす可能性のある個人データ侵害を認知してから72時間以内に、所管の監督機関に通知しなければならない。通知は不当な遅滞なく、かつ可能な場合には72時間以内に行われなければならない。72時間以内に行われない場合には、遅延について理由を付した説明を添えなければならない。期限のカウントは、調査が完了した時点ではなく、管理者が侵害の発生について合理的な程度の確信を得た時点から始まる。
すべてのデータ侵害を監督機関に報告する必要があるか。
そうではない。個人の権利および自由にリスクをもたらす可能性がある侵害のみを、監督機関に報告する必要がある。ただし、通知の閾値を満たさない侵害も含め、すべての侵害は第33条(5)項に基づき内部の侵害登録簿に文書化しなければならない。リスク評価が不確かな場合、EDPBは通知する方向に判断することを推奨している。
監督機関への通知とデータ主体への通知の違いは何か。
第33条は、侵害が個人にリスクをもたらす場合(より低い閾値)、72時間以内に監督機関への通知を求めている。第34条は、侵害が高いリスクをもたらす可能性がある場合(より高い閾値)、不当な遅滞なくデータ主体への通知を求めている。データ保護当局への報告を要するすべての侵害が、個人への通知も要するわけではない。データが暗号化されており鍵が漏えいしていない場合、リスクが効果的に緩和された場合、または個別の連絡が不釣り合いな労力を要する場合(この場合は代わりに公表による通知が求められる)には、データ主体への通知は不要である。
72時間のカウントは正確にいつ始まるのか。
カウントは、管理者がセキュリティインシデントが発生し、個人データが影響を受けたことについて合理的な程度の確信を得た時点から始まる。内部システムによって検知された侵害については、担当者がそのアラートを侵害の可能性を示すものとして確認した時点から認知が始まる。処理者から報告された侵害については、管理者がその通知を受け取った時点から認知が始まる。外部からの報告については、管理者が信頼できる情報を受け取った時点から認知が始まる。調査の完了をカウントは待たない。
処理者は侵害を発見した際に何を行わなければならないか。
第33条(2)項のもとでは、処理者は侵害を認知した後、不当な遅滞なく管理者に通知しなければならない。GDPRは固定された時間の上限を定めていないが、EDPBガイドライン9/2022は、処理者が自らの発見から72時間以内に管理者に通知することを目指すよう推奨している。監督機関に対する管理者の72時間の期限は、処理者からの適時の通知に依存しているためである。第28条に基づくデータ処理契約には、通知の最長期限(一般に24時間)と、処理者が提供しなければならない最低限の情報を定めておくべきである。
侵害通知は段階的に行うことができるか。
できる。第33条(4)項は段階的な通知を明示的に認めている。必要とされるすべての情報が72時間以内に入手できない場合、管理者は72時間以内に入手可能な情報で初回の通知を提出し、さらなる不当な遅滞なく追加の情報を提供すべきである。この仕組みが存在するのは、まさに侵害の調査に時間を要するためである。段階的な通知を行う方が、全容を待って期限を完全に逃すよりもはるかに望ましい。
監督機関への通知には、どのような情報を含めなければならないか。
第33条(3)項は、次の事項を求めている。侵害の性質(影響を受けるデータ主体およびデータ記録の区分およびおおよその数を含む)、データ保護責任者またはその他の連絡窓口の氏名および連絡先、侵害の想定される結果の説明、そして侵害に対処するために講じた、または講じることを提案する措置(生じうる悪影響を緩和するための措置を含む)である。2024年12月のMetaに対するDPC決定は、必要な記載内容を欠く不完全な通知が、第33条(3)項の別個の違反として扱われることを示している。
侵害登録簿には何を記載すべきか。
第33条(5)項は、登録簿に、各侵害の事実関係(何が、どのように起きたか、いつ発見されたか)、個人への影響、講じた是正措置、理由を含むリスク評価、そして監督機関に通知する、またはしないことについての根拠を記載することを求めている。登録簿は、報告された侵害だけでなく、すべての侵害を対象とする。監督機関の求めに応じて提示できるようにしておかなければならず、侵害対応に関するコンプライアンスの主要な監査証跡となる。
GDPRの72時間ルールは、HIPAAや米国の州法とどう比較されるか。
GDPRの監督機関への通知に関する72時間という期限は、比較可能な枠組みの大半よりも厳格である。HIPAAは、対象事業者に対し、公民権局および影響を受ける個人への通知について60日の猶予を与えている。米国の州の侵害法はさまざまであるが、大半は不合理な遅滞なく通知することを求めており、一部は72時間から30日までの具体的な期限を定めている。オーストラリアの通知義務のある侵害制度は、OAICへの通知について30日の猶予を認めている。カナダのPIPEDAは、可能な限り速やかな通知を求めている。英国は、UK GDPRのもとで、EU GDPRと同じ72時間ルールに従っている。
72時間の期限を逃した場合、どのような制裁金が適用されるか。
遅延した、または行われなかった侵害通知は、第83条(4)項の対象となり、最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方を上限とする制裁金が科される。遅延した通知は独立した違反であり、たとえ根本にある侵害自体がGDPRの重大な違反でなかったとしても、期限を逃したこと自体について制裁金を科される可能性がある。注目すべき例としては、Booking.com(22日遅れて通知したことについて47万5,000ユーロ)、Permanent TSB(2026年5月の27万7,500ユーロの制裁金のうち、遅延した通知に特化した2万7,500ユーロ)がある。
Sources and References
- GDPR全文、規則(EU)2016/679(eur-lex.europa.eu).gov
- EDPBガイドライン9/2022、個人データ侵害通知について バージョン2.0(2023年4月)(edpb.europa.eu).gov
- EDPBガイドライン01/2021、個人データ侵害通知に関する事例について(edpb.europa.eu).gov
- EDPBワンストップショップ事例集、処理のセキュリティおよびデータ侵害通知について(2024年)(edpb.europa.eu).gov
- 欧州委員会、データ侵害とは何か(commission.europa.eu).gov
- EDPB、第33条 監督機関への侵害通知(edpb.europa.eu).gov
- EDPB、データ侵害(中小企業向けガイド)(edpb.europa.eu).gov
- EDPB、データ保護当局へのデータ侵害の通知方法(edpb.europa.eu).gov
- ICO、個人データ侵害:ガイド(ico.org.uk).gov
- EDPS、個人データ侵害通知に関するガイドライン(edps.europa.eu).gov
- アイルランドDPC、Metaに対する2億5,100万ユーロの制裁金(2024年12月)(dataprotection.ie).gov
- アイルランドDPC、Permanent TSBに対する27万7,500ユーロの制裁金(2026年5月)(dataprotection.ie).gov
- EDPB、Bank of Ireland Groupに対するアイルランドDPCの調査(edpb.europa.eu).gov
- DLA Piper、ヨーロッパにおける個人データ侵害が1日あたり443件に達する(2026年2月)(dlapiper.com)
- NIS2指令、指令(EU)2022/2555(eur-lex.europa.eu).gov
- EDPB、データ侵害通知に関するガイドライン9/2022および01/2021の概要(2025年)(edpb.europa.eu).gov