情報セキュリティ関連法規応用問題
GDPR(EU一般データ保護規則)の適用対象となる事業者が、EUの利用者の個人データに対してセキュリティインシデントが発生した場合、満たすべき最も重要な要件はどれか?
A.インシデント発生から90日以内に関係当局に報告すれば十分である
✗ GDPRでは72時間以内(やむを得ない遅延を除く)の関係当局への報告が求められており、90日では遅い。
B.重大なリスクが生じる場合、本人への通知を含む対応を迅速に実施する必要がある← 正解
✓ 正解です。GDPRでは、高いリスクが個人に生じる場合、遅延なく本人へ通知することが義務付けられている。
C.EUの規制当局の許可を事前に得なければ本人への通知はできない
✗ GDPRでは事前許可なく本人への通知義務があり、許可取得は不要である。
D.個人データ保護のための技術的対策が存在していれば報告義務は免除される
✗ 技術的対策があっても、インシデント発生時は報告義務が免除されないため誤りである。