RGPD/LOPDGDDインシデント対応|AEPD 72時間通知と顧客連絡

ビジネススペイン語フレーズ
2026.04.25

RGPD/LOPDGDDインシデントは「内部評価→規制機関通知(72時間)→データ主体通知」の3段で進めます。

スペイン本国はAEPD、メキシコはINAI、アルゼンチンはAAIPと管轄機関が異なります。

本記事は72時間ルール・各国規制機関通知・データ主体への通知メール・影響軽減策提示までを体系化します。

  1. 個人情報漏洩の法的フレームワーク
    1. スペイン本国: RGPD(EU GDPR)+ LOPDGDD
    2. メキシコ: LFPDPPP(INAI管轄)
    3. アルゼンチン: Ley 25.326(AAIP管轄)
    4. コロンビア: Ley 1581(SIC管轄)
  2. 72時間ルール(スペイン本国RGPD第33条)
    1. 発見から72時間以内のAEPD通知義務
    2. 通知必要性の判断基準
    3. 遅延時の制裁リスク(最大2,000万€または全売上4%)
  3. インシデント評価の3段階
    1. 段階1: 発見と初期評価
    2. 段階2: 影響範囲特定
    3. 段階3: 規制機関通知判断
  4. 内部報告メールの型
    1. 件名「[URGENTE – Incidente de Datos] OO」
    2. 発生時刻・発見時刻・影響範囲
    3. DPO/法務即時関与依頼
  5. AEPD通知文書の構造(スペイン本国)
    1. 「Notificación de Brecha de Seguridad」
    2. 必須項目(事実・影響・対策・連絡先)
    3. 電子提出(Sede Electrónica)
  6. INAI通知(メキシコLFPDPPP)
    1. 「sin dilación indebida」(不当な遅延なし)
    2. 通知書フォーマット
    3. ARCO権利(Acceso/Rectificación/Cancelación/Oposición)
  7. AAIP通知(アルゼンチンLey 25.326)
    1. AAIPフォームの提出
    2. 影響を受けたデータ主体数の集計
    3. 改善計画書の添付
  8. データ主体への通知(顧客連絡)
    1. RGPD第34条準拠の直接通知
    2. 「Le informamos sobre una posible afectación de sus datos」
    3. 平易な言葉での説明
  9. 顧客連絡メールの型
    1. 件名「Notificación importante sobre sus datos personales」
    2. 4段構造(事実・影響・対策・連絡先)
    3. パニック回避の冷静な記述
  10. 影響軽減策の提示
    1. 「Le ofrecemos OO meses de monitoreo de identidad」
    2. パスワード変更推奨
    3. 不審な活動の報告窓口
  11. 再発防止策の公開
    1. 「Hemos implementado las siguientes medidas」
    2. 技術的・組織的対策
    3. 定期監査の約束
  12. メディア対応・プレスリリース
    1. 大規模インシデント時の対応
    2. 「Comunicado oficial」の作法
    3. PR会社との連携
  13. 後続対応(フォローアップ)
    1. AEPDからの追加質問への回答
    2. データ主体からの問合せ対応
    3. 改善報告書の提出
  14. インシデント記録(Registro)
    1. RGPD第33条第5項の記録義務
    2. 内部記録のフォーマット
    3. 5年間保存推奨
  15. 日本人のRGPD対応NG
    1. 72時間ルールを軽視
    2. 「お騒がせして申し訳ない」のみで対策不足
    3. 法務未関与での独断対応

個人情報漏洩の法的フレームワーク

各国法的フレームワークを理解します。

適用法は事業展開地域によって決まります。

スペイン本国: RGPD(EU GDPR)+ LOPDGDD

スペイン本国はRGPD(EU GDPR)+LOPDGDD(Ley Orgánica de Protección de Datos)が適用されます。

(1) Aplicable: RGPD Art. 33 y LOPDGDD Art. 39

(2) アプリカブル・エレヘペデ・アルティクロ・トレインタ・イ・トレス

(3) 適用法: GDPR第33条およびLOPDGDD第39条

規制機関はAEPD(Agencia Española de Protección de Datos)です。

メキシコ: LFPDPPP(INAI管轄)

メキシコはLFPDPPP(Ley Federal de Protección de Datos Personales)が適用されます。

規制機関はINAI(Instituto Nacional de Transparencia)です。

「sin dilación indebida」(不当な遅延なし)の原則が適用されます。

アルゼンチン: Ley 25.326(AAIP管轄)

アルゼンチンはLey 25.326(Ley de Protección de los Datos Personales)が適用されます。

規制機関はAAIP(Agencia de Acceso a la Información Pública)です。

EUデジタル協定(adequacy decision)対象国です。

コロンビア: Ley 1581(SIC管轄)

コロンビアはLey 1581が適用されます。

規制機関はSIC(Superintendencia de Industria y Comercio)です。

habeas data原則が憲法レベルで保障されています。

72時間ルール(スペイン本国RGPD第33条)

72時間ルールはRGPD第33条の核心です。

厳守しないと巨額制裁の対象となります。

発見から72時間以内のAEPD通知義務

発見から72時間以内のAEPD通知が義務です。

(1) Notificación a la AEPD dentro de las 72 horas desde el conocimiento

(2) ノティフィカシオン・ア・ラ・アエペデ・デントロ・デ・ラス・セテンタ・イ・ドス

(3) AEPDへの通知は認知から72時間以内

「認知」の起算点は法務責任者・DPOが事実を把握した時点です。

通知必要性の判断基準

通知必要性を判断します。

「データ主体の権利と自由に対するリスクが認められる場合」が判断基準です。

低リスクの場合は内部記録のみで通知不要のケースもあります。

遅延時の制裁リスク(最大2,000万€または全売上4%)

遅延時の制裁は最大2,000万ユーロまたは全世界売上の4%です。

これは2020年代の最大級の規制リスクです。

大企業ほどリスク額が大きく、コンプライアンス投資が経営課題となっています。

インシデント評価の3段階

インシデント評価は3段階で進めます。

各段階の判断材料を準備します。

段階1: 発見と初期評価

段階1は発見と初期評価です。

「¿Hay datos personales involucrados? ¿Cuántas personas afectadas?」を即座に評価します。

1時間以内に初期評価を完了するのが理想です。

段階2: 影響範囲特定

段階2は影響範囲特定です。

影響を受けたデータ主体数、データ種別、漏洩経路を特定します。

24時間以内に詳細評価を完了します。

段階3: 規制機関通知判断

段階3は規制機関通知判断です。

リスク評価結果に基づき通知の要否を決定します。

判断は法務・DPO・経営層の合議で行います。

内部報告メールの型

内部報告メールは緊急性を伝えます。

関係者を即時集めるための文面です。

件名「[URGENTE – Incidente de Datos] OO」

緊急件名の標準型です。

(1) [URGENTE – Incidente de Datos] Posible filtración de correos electrónicos por BCC

(2) ウルヘンテ・インシデンテ・デ・ダトス・ポシブレ・フィルトラシオン

(3) [緊急 – データインシデント] BCC漏れによるメール流出可能性

発生時刻・発見時刻・影響範囲

3要素を冒頭に明記します。

「Hora de ocurrencia: 14:30 / Hora de descubrimiento: 15:45 / Datos afectados: 50 correos」のような形式です。

時刻精度は分単位で記録します。

DPO/法務即時関与依頼

DPOと法務の即時関与を依頼します。

「Solicito intervención inmediata de DPO y departamento legal」と明示します。

連絡漏れを防ぐためメール+電話+メッセンジャーの3経路で通知します。

AEPD通知文書の構造(スペイン本国)

AEPD通知文書には標準構造があります。

必須項目を漏らさない注意が必要です。

「Notificación de Brecha de Seguridad」

AEPD通知書のタイトル表記です。

(1) Notificación de Brecha de Seguridad de Datos Personales

(2) ノティフィカシオン・デ・ブレチャ・デ・セグリダー

(3) 個人データセキュリティ違反通知

必須項目(事実・影響・対策・連絡先)

4つの必須項目を含めます。

事実関係、影響評価、対策実施状況、連絡先窓口(DPO)の4要素です。

各項目の詳細フォーマットはAEPDウェブサイトに公開されています。

電子提出(Sede Electrónica)

提出はSede Electrónica経由です。

電子証明書(DNIe・FNMT)またはCl@ve PINでの認証が必要です。

提出後、AEPDから受領番号が発行されます。

INAI通知(メキシコLFPDPPP)

メキシコINAI通知は手順が異なります。

独自フォーマットを準備しておきます。

「sin dilación indebida」(不当な遅延なし)

メキシコは「不当な遅延なし」原則です。

EUのような明確な72時間ルールはありませんが、実務上は迅速対応が期待されます。

72時間以内の通知が安全策です。

通知書フォーマット

INAI通知書フォーマットを使用します。

「Aviso de Vulneración de Seguridad」がタイトルです。

INAI公式サイトのテンプレートが利用可能です。

ARCO権利(Acceso/Rectificación/Cancelación/Oposición)

ARCO権利を尊重します。

影響を受けたデータ主体には4つの権利(アクセス・訂正・削除・反対)が保障されます。

権利行使窓口の明示が通知書に必須です。

AAIP通知(アルゼンチンLey 25.326)

アルゼンチンAAIP通知の手順です。

南米コーン共通の参考にもなります。

AAIPフォームの提出

AAIP公式フォームを提出します。

オンラインフォーム経由が標準です。

2018年改正で電子提出が義務化されました。

影響を受けたデータ主体数の集計

影響データ主体数を集計します。

10件以下、10-100件、100件超で対応レベルが異なります。

1,000件超は重大インシデントとして特別対応が必要です。

改善計画書の添付

改善計画書を添付します。

「Plan de Acción Correctiva」というタイトルで、3-6ヶ月の改善計画を示します。

具体的な技術的・組織的対策を含めます。

データ主体への通知(顧客連絡)

データ主体への通知は別プロセスです。

規制機関通知とは異なる文面が必要です。

RGPD第34条準拠の直接通知

RGPD第34条は直接通知を義務付けます。

「高リスク」と判断される場合は本人への直接通知が必要です。

名前・メールアドレスでの個別連絡が標準です。

「Le informamos sobre una posible afectación de sus datos」

標準的な通知開始表現です。

(1) Le informamos sobre una posible afectación de sus datos personales

(2) レ・インフォルマモス・ソブレ・ウナ・ポシブレ・アフェクタシオン

(3) お客様の個人データへの影響可能性についてお知らせします

平易な言葉での説明

専門用語を避けます。

「データ主体」より「お客様」、「処理活動」より「使用」のような平易な表現を使います。

RGPD第34条は「明確かつ平易な言葉」での通知を義務付けています。

顧客連絡メールの型

顧客連絡メールには標準型があります。

パニック回避を意識した文面が必要です。

件名「Notificación importante sobre sus datos personales」

件名は明確に書きます。

(1) Notificación importante sobre sus datos personales

(2) ノティフィカシオン・インポルタンテ・ソブレ・ス・ダトス

(3) お客様の個人データに関する重要なお知らせ

4段構造(事実・影響・対策・連絡先)

4段構造で書きます。

事実説明、影響範囲、実施対策、問い合わせ窓口の4ブロックです。

各ブロックを見出しで区切ると読みやすくなります。

パニック回避の冷静な記述

パニック回避を意識します。

「No hay evidencia de uso indebido hasta el momento」のような事実ベースの記述で安心感を提供します。

過度に煽る表現は避けます。

影響軽減策の提示

影響軽減策を提示します。

具体的なサポートを示すと信頼回復に繋がります。

「Le ofrecemos OO meses de monitoreo de identidad」

ID監視サービス提供の標準表現です。

(1) Le ofrecemos 12 meses de monitoreo de identidad sin costo

(2) レ・オフレセモス・ドセ・メセス・デ・モニトレオ・デ・イデンティダー

(3) ID監視サービスを12ヶ月無償で提供します

パスワード変更推奨

パスワード変更を推奨します。

「Recomendamos cambiar su contraseña como medida preventiva」と明示します。

具体的な変更手順をリンクで提供します。

不審な活動の報告窓口

報告窓口を提示します。

「Si detecta actividad sospechosa, contacte: incidentes@empresa.com」のように明示します。

24時間対応のホットラインがあれば理想です。

再発防止策の公開

再発防止策を公開します。

透明性が信頼回復の基盤です。

「Hemos implementado las siguientes medidas」

対策実施の標準表現です。

(1) Hemos implementado las siguientes medidas técnicas y organizativas

(2) エモス・インプレメンタド・ラス・シギエンテス・メディダス

(3) 次の技術的・組織的対策を実施しました

技術的・組織的対策

2軸で対策を示します。

暗号化強化、アクセス管理見直し(技術的)、研修実施、プロセス見直し(組織的)の両輪です。

RGPD第32条が要請する「技術的・組織的対策」の枠組みに沿います。

定期監査の約束

定期監査を約束します。

「Realizamos auditorías trimestrales con terceros independientes」のような形式です。

外部監査の活用が信頼性を高めます。

メディア対応・プレスリリース

メディア対応はリスクとなります。

大規模インシデント時は特別対応が必要です。

大規模インシデント時の対応

1,000人超の影響時はメディア対応の準備が必要です。

PR会社・法務との連携で公式声明を準備します。

沈黙はかえって憶測を呼びます。

「Comunicado oficial」の作法

公式コミュニケの作法です。

(1) Comunicado Oficial sobre Incidente de Seguridad

(2) コムニカド・オフィシアル・ソブレ・インシデンテ・デ・セグリダー

(3) セキュリティインシデントに関する公式声明

PR会社との連携

PR会社との連携が効果的です。

クライシスコミュニケーション専門のPR会社を事前選定しておきます。

緊急時に外部リソースを即座に活用できる体制が重要です。

後続対応(フォローアップ)

後続対応はインシデント収束後も続きます。

長期的な信頼回復が目標です。

AEPDからの追加質問への回答

規制機関からの追加質問に対応します。

初回通知後、AEPDから追加情報要求が来ることが多いです。

10営業日以内の回答が標準です。

データ主体からの問合せ対応

データ主体からの問合せが急増します。

FAQページを準備し、よくある質問は自動回答できるようにします。

個別対応窓口も24時間体制が望ましいです。

改善報告書の提出

改善報告書を提出します。

3-6ヶ月後に改善実施状況を規制機関に報告するケースが多いです。

「Informe de Implementación de Medidas Correctivas」がタイトルです。

インシデント記録(Registro)

インシデント記録は法的義務です。

RGPD第33条第5項が要請します。

RGPD第33条第5項の記録義務

第33条第5項は記録義務を規定します。

事実、影響、対策の3要素を記録に含めます。

規制機関の検査時に提示できる状態が必要です。

内部記録のフォーマット

内部記録のフォーマットを統一します。

「Registro de Brechas de Seguridad」というタイトルでExcel・Notion・専門ツールで管理します。

各インシデントに固有のIDを付与します。

5年間保存推奨

5年間保存が推奨です。

規制機関の事後監査・訴訟リスクに備えます。

クラウド+オフライン2重保管が安全策です。

日本人のRGPD対応NG

日本式の対応はRGPD違反となるリスクがあります。

典型的なNGパターンを把握します。

72時間ルールを軽視

72時間ルールの軽視は致命的です。

「日本では報告義務はない」という認識でEU基準を満たさないと巨額制裁の対象になります。

スペイン本国で事業展開する場合は完全準拠が必須です。

「お騒がせして申し訳ない」のみで対策不足

謝罪だけでは不十分です。

「Disculpen las molestias」だけで対策説明がないと、規制機関は不誠実と評価します。

対策実施状況の具体的説明が必須です。

法務未関与での独断対応

法務未関与は重大リスクです。

RGPDインシデントは法的判断が必要な領域で、IT部門単独の判断は危険です。

発見即時の法務関与が鉄則です。

関連記事としてスペイン語ビジネスメール完全ガイド訂正メールクレーム対応メール謝罪メールフォーマル表現もご活用ください。

タイトルとURLをコピーしました