データ侵害通知・インシデントレスポンス （法務的側面）

1. データ侵害通知義務と法令対応

1-1. 72時間ルール（GDPR 第33条）

GDPR では、「個人データ侵害が発生した場合、72 時間以内に監督機関（Data Protection Authority）へ通知しなければならない」 という要件が定められています（GDPR 第33条）。以下のポイントに注意が必要です。

1. 通知対象: 監督機関（DPA）、必要に応じてデータ主体（個人）にも通知が必要。

2. 通知内容: 侵害の性質、影響を受けたデータ主体のカテゴリおよび概数、行った対策や追加措置など。

3. 例外: 暗号化など適切な技術的保護により、データ主体の権利・自由にリスクが生じない場合は通知不要になる場合がある。

NIST ガイドラインとの関連

• NIST SP 800-53 では、IR（Incident Response）ファミリにおいて、外部機関への通知を含む「インシデント報告のプロセス」を定義する必要性が示されています。

  • IR-6 (Incident Reporting): インシデントを速やかに報告・共有するための方針と手順を策定。

  • IR-8 (Incident Response Plan): インシデント発生時の連絡先、通知手順を含めた計画策定。

• NIST CSF の “Respond” ファンクション（RS）においても、RS.CO-2（インシデント報告の組織内ルート設定）、RS.CO-3（外部機関への連携ルート）などが該当します。

1-2. その他法令・ガイドラインの通知要件

• 日本の個人情報保護法（APPI）: 改正法(2022年施行)では、個人情報漏えいが発生した場合、事案に応じて個人情報保護委員会と当該本人への通知が義務付けられています。

• 米国各州のデータ侵害通知法: カリフォルニア州 CCPA/CPRA など、多くの州法で侵害発生時の通知義務が定められています。

• 業界規制: 金融業（GLBA、FISCなど）、医療業（HIPAA）、クレジットカード業界（PCI DSS など）は、さらに厳格なタイムラインと通知先が設定されるケースあり。

2. インシデント時の報告フローと NIST IR-4 などの参照

2-1. 報告フロー（社内→法務→当局→データ主体）

インシデント時の通知フローを事前に整備する必要があります。たとえば、以下のような段階的なフローを想定します。

1. IT 部門・セキュリティチームがインシデントを検知し、原因分析や暫定対策を開始。

2. 法務部へ直ちに連絡し、状況把握・法的リスク評価・通知要件の確認を行う。

3. 必要に応じて役員会に報告し、広報発表のタイミングや内容を協議。

4. **72 時間以内に監督機関（GDPR 下であれば DPA）**へ通知。

5. データ主体（ユーザーなど）への連絡方法（メール・WEB 公告など）も検討し、法定の期間内に対応。

NIST ガイドラインとの関連

• NIST SP 800-53 IR-4 (Incident Handling): インシデントの検知からエスカレーション、内部連絡、外部報告までのプロセス構築を要求。

• NIST CSF “Respond” 全般: RS.CO（コミュニケーション）と RS.IM（改善）において、「誰がいつ、どこへ報告するか」を明確にすることを求めている。

3. 責任分担・事故対応契約（SLA・免責条項）

3-1. クラウド事業者との契約

クラウド事業者（Azure など）と結ぶオンラインサービス規約や SLA（Service Level Agreement）には、インシデント発生時の賠償範囲や責任制限が定められている場合が多いです。具体的には以下を確認します。

1. Shared Responsibility Model

   • Azure 側が責任を負う範囲：物理インフラ、ホスト OS、ネットワーク基盤など

   • 顧客（利用企業）が責任を負う範囲：仮想マシン、データ、アプリケーション設定、アクセス制御など

2. SLA でカバーされる補償

   • 障害時の稼働率クレジット（例: 99.9% 下回った場合、料金の一部返金）

   • データ漏洩やセキュリティ侵害による損害は原則としてカバーされない場合が多い

3. 免責条項

   • クラウド事業者が故意または重大な過失でない限り、損害賠償責任を大幅に制限する条項が含まれることが一般的。

NIST ガイドラインとの関連

• NIST SP 800-53 は主に連邦政府機関向けだが、SA（System and Services Acquisition）ファミリで外部サービス契約におけるセキュリティ要件を定義することを推奨。

  • SA-9 (External Information System Services): 外部サービス契約時にセキュリティコントロールや責任分担を明確化。

• NIST CSF の “Identify（ID）” では、サプライチェーンや外部依存を把握し、契約面のリスクを管理する必要性を示す。

3-2. 自社が負う賠償責任とサイバー保険

インシデントによって外部に損害が及んだ場合、自社が賠償責任を負うリスクが存在します。例えば、顧客個人情報が漏洩し、クラスアクション（集団訴訟）が起きるケースなどです。そのため、下記を検討します。

1. サイバー保険の適用範囲

   • データ漏洩対応費用、顧客通知費用、法務対応費用、和解・示談金などが補償されるか

2. 賠償責任の上限（Limitation of Liability）

   • 契約書で賠償額の上限を設定しているか

   • 間接損害（逸失利益、事業停止損失）を免責する条項があるか

NIST ガイドラインとの関連

• NIST SP 800-161 (Supply Chain Risk Management) において、サプライチェーン上の契約リスクや保険も含めた総合的なリスク管理を推奨。

• NIST CSF “Identify - Asset Management（ID.AM）” で、財務的リスクや保険の活用もリスク管理の一環とされる場合がある。

4. インシデントレスポンスと法的リスクの最小化

4-1. 二次被害防止・レピュテーション管理

インシデント発生時には、技術的対策だけでなく法的手続きや広報戦略が重要です。たとえば、役員会での報告内容やプレスリリースのタイミングを誤ると、風評被害や株価下落などの二次被害が拡大する可能性があります。

• NIST SP 800-53 IR ファミリ には、「インシデント対応時に利害関係者への適切な報告と調整を行う」制御（IR-4, IR-7 など）が示唆されており、社内外での連携が不可欠です。

• NIST CSF の “Respond - Communications (RS.CO)” でも、外部連携（法執行機関、監督機関、顧客など）と内部連絡を含め、包括的に計画すべきとされています。

4-2. 法務部門と IT 部門の協働

GDPR や各国のプライバシー法令に基づき、72 時間以内の通知やデータ主体への説明責任を果たすためには、IT 部門が迅速に原因分析とシステム修復を行い、法務部門が各種通報手続きを正確に進めるという協働が必須です。

• IT 部門: Azure Sentinel や Defender for Cloud のアラートから侵害経路を特定し、技術的対策を実施。

• 法務部: インシデント内容を法令要件に照らして整理し、規制当局や顧客への通知文書を作成。必要に応じて弁護士や広報担当とも連携。

• NIST CSF においては、“Respond - Analysis (RS.AN)” や “Respond - Mitigation (RS.MI)” で技術的対策を進める一方、“Respond - Communications (RS.CO)” で法務および広報と連携して外部通知を行うプロセスが明確化されています。

5. まとめ

1. 72時間ルール・通知義務（GDPR/APPI 等）

   • GDPR 第33条 に基づき、監督機関への報告とデータ主体への通知の要否を速やかに判断。

   • NIST SP 800-53 IR-6 などのインシデント報告制御を活用し、手順書化。

2. 責任分担と契約管理

   • Shared Responsibility Model 上で、クラウド事業者と自社の境界を明確化。

   • SLA・免責条項を把握し、サイバー保険等を検討。

3. インシデント対応フローと NIST ガイドライン

   • NIST SP 800-53 IRファミリやNIST CSF を参照し、社内→法務→当局・データ主体への報告フローを定義。

   • 役員会・広報への報告内容やタイミングを事前に合意し、二次被害を最小化。

4. IT 部門と法務部門の協働

   • 技術的原因分析（Azure Sentinel / Defender for Cloud）と法的手続きを連動させ、72 時間以内の通知を完遂。

   • NIST CSF の “Respond” 機能群を取り入れ、セキュリティ・コンプライアンス両面を統合的に運用。

以上により、国際標準（NIST や ISO）に準拠したインシデントレスポンス体制とGDPR 等の法令要件を満たす報告フローを両立させ、データ侵害時のリスクを最小限に抑えることが可能になります。