AZOP・GDPR 72時間通報メール|クロアチア個人情報保護法実務

クロアチア語

AZOP・GDPR 72時間通報メールはクロアチア進出企業必読の独立トピックです。

個人情報流出(BCC漏れ・データベース侵害・誤送信等)発生時、AZOPへの72時間以内通報義務があります。

本記事はGDPR Article 33の国内実装に基づく通報メールテンプレを提示します。

違反時は最大企業全売上の4%罰金リスクがあるため、即時対応の判断基準を体系化します。

  1. AZOP(Agencija za zaštitu osobnih podataka)の役割
    1. クロアチア個人情報保護機関
    2. GDPR国内実装の管轄
    3. 違反時の罰金規模(最大全売上の4%)
  2. 72時間ルールの起点
    1. 「発見」の定義(DPO認識時点)
    2. 週末・祝日含むカウント
    3. 遅延理由の説明可能性
  3. 通報義務の判断基準
    1. 個人情報の含有
    2. 流出規模(影響受けた個人数)
    3. リスク評価(高・中・低)
  4. 件名の様式
    1. 「Obavijest o povredi osobnih podataka po čl. 33 GDPR」
    2. インシデント番号
    3. 報告日時
  5. AZOP通報メール構造(GDPR Article 33要件)
    1. インシデント概要
    2. 影響受けたデータ種類・件数
    3. 結果・潜在影響
    4. 取った措置・予定措置
    5. DPO(Data Protection Officer)連絡先
  6. 顧客通知メール(GDPR Article 34)
    1. 「Žao nam je što vas obavještavamo o…」
    2. 何が流出したかの明確説明
    3. 顧客が取るべき措置(パスワード変更等)
    4. 連絡先・問い合わせ方法
  7. 内部報告メール(社内向け)
    1. 「[INTERNO HITNO] Povreda osobnih podataka – [Datum]」
    2. 経営陣・Pravni odjel・DPO・IT管理者への配信
    3. 客観的事実のみ記録、主観判断は別途
  8. 流出規模別対応
    1. 100件未満(軽度)
    2. 100-1000件(中度)
    3. 1000件超(重度・メディア対応必要)
  9. 文書化の徹底
    1. タイムライン記録(発見・通報・対応の各時刻)
    2. 内部メール・ログの保全
    3. 後日AZOP調査時の証拠
  10. AZOP通報後のフォロー
    1. AZOPからの追加質問への対応
    2. 調査進捗の継続報告
    3. 是正措置の報告
  11. 関連法令との連携
    1. クロアチア個人情報保護法(Zakon o provedbi opće uredbe o zaštiti podataka)
    2. 電子商取引法(Zakon o elektroničkoj trgovini)
    3. 通信法(Zakon o elektroničkim komunikacijama)
  12. 国際的影響評価
    1. EU加盟国全体への影響
    2. 他国データ保護機関との連携(One-Stop-Shop)
    3. 日本との越境データ移転条項
  13. 日本人のAZOP対応NG
    1. 72時間ルールの軽視(カウントは発見即時)
    2. 通報遅延を「調査中」で言い訳
    3. 顧客通知の脱落(Article 34違反)
  14. AZOP通報の完成例
    1. 件名と冒頭
    2. 5項目の構造化
    3. 結語
  15. AZOP通報の業界別事例
    1. 金融業界の事例
    2. 通信業界の事例
    3. 医療業界の事例
    4. EC・小売業界の事例

AZOP(Agencija za zaštitu osobnih podataka)の役割

AZOPの役割を理解します。

クロアチア個人情報保護機関

AZOPはクロアチア個人情報保護機関です。

「Agencija za zaštitu osobnih podataka」の略称で、Zagreb本部です。

EU加盟国としてGDPR(一般データ保護規則)の国内実装を担当しています。

(1) Agencija za zaštitu osobnih podataka

(2) アゲンツィヤ ザ ザシュティトゥ オソブニフ ポダタカ

(3) 個人情報保護機関

GDPR国内実装の管轄

AZOPはGDPR国内実装の管轄機関です。

クロアチア個人情報保護法(Zakon o provedbi opće uredbe o zaštiti podataka)の運用を担当します。

違反調査、罰金賦課、ガイドライン発出が主要業務です。

違反時の罰金規模(最大全売上の4%)

違反時の罰金は最大企業全売上の4%です。

または2000万ユーロのいずれか高い方です。

クロアチア大企業(INA等)では数億ユーロ規模の罰金リスクとなります。

72時間ルールの起点

72時間ルールの起点を理解します。

「発見」の定義(DPO認識時点)

「発見」とはDPO(Data Protection Officer)認識時点です。

従業員が気づいた時点ではなく、DPO(または法定責任者)が認識した時点が起算日です。

クロアチア大企業はDPO常駐が標準です。

週末・祝日含むカウント

72時間カウントは週末・祝日を含みます。

クロアチア祝祭日(Praznici)も例外なく含まれます。

休日対応体制の事前構築が必須です。

遅延理由の説明可能性

72時間超過時は遅延理由の説明が必要です。

「Razlog kašnjenja prijave: [opis]」(通報遅延理由:[説明])の形式です。

正当な理由(調査困難・大規模流出等)が認められる場合があります。

通報義務の判断基準

通報義務の判断基準です。

個人情報の含有

個人情報含有の有無が第一基準です。

氏名、住所、電話、メール、OIB、銀行口座等は個人情報に該当します。

匿名化・仮名化されたデータは対象外の場合があります。

流出規模(影響受けた個人数)

流出規模を評価します。

100件未満(軽度)、100-1000件(中度)、1000件超(重度)の3段階評価が標準です。

規模に応じて対応レベルが異なります。

リスク評価(高・中・低)

リスク評価を3段階で行います。

低リスク:通報不要の可能性、中リスク:AZOP通報のみ、高リスク:AZOP通報+顧客通知の両方が必要です。

判断はDPO主導で行います。

件名の様式

件名様式の規範です。

「Obavijest o povredi osobnih podataka po čl. 33 GDPR」

AZOP通報の標準件名です。

Predmet:Obavijest o povredi osobnih podataka po čl. 33 GDPR – Incident #2026-0425-001

GDPR第33条への言及が必須です。

(1) Obavijest o povredi

(2) オバヴィイェスト オ ポヴリェディ

(3) 侵害通知

インシデント番号

インシデント番号を含めます。

「Incident #YYYY-MMDD-NNN」のフォーマットが標準です。

後日参照の容易性を確保します。

報告日時

報告日時を明示します。

「Datum prijave: [DD.MM.YYYY HH:MM]」(通報日時:[日付 時刻])の形式です。

72時間ルールの遵守証拠となります。

AZOP通報メール構造(GDPR Article 33要件)

AZOP通報メールの構造です。

インシデント概要

インシデント概要を含めます。

「Sažetak incidenta: [opis]」(インシデント要約:[説明])の形式です。

5W1H(誰が・いつ・どこで・何を・なぜ・どのように)で構造化します。

影響受けたデータ種類・件数

影響受けたデータ種類と件数を明示します。

「Vrste podataka: [list]. Broj pogođenih osoba: [N]」(データ種類:[リスト]、影響者数:[N])の形式です。

正確な数値を提示します。

結果・潜在影響

結果と潜在影響を分析します。

「Stvarne posljedice: [list]. Potencijalne posljedice: [list]」(実際の結果:、潜在的結果:)の形式です。

身分盗用、金銭被害、評判被害等を評価します。

取った措置・予定措置

取った措置と予定措置を明示します。

「Poduzete mjere: [list]. Planirane mjere: [list]」(取られた措置:、計画措置:)の形式です。

即時対応と長期対応の2軸で整理します。

DPO(Data Protection Officer)連絡先

DPO連絡先を明示します。

「DPO: [Ime Prezime] / [e-mail] / [tel]」の形式です。

AZOP追加質問への即時対応窓口を確保します。

顧客通知メール(GDPR Article 34)

顧客通知メール(GDPR第34条)です。

「Žao nam je što vas obavještavamo o…」

「Žao nam je što vas obavještavamo o povredi osobnih podataka」(個人情報侵害をお知らせします)が標準冒頭です。

誠実かつ事実重視の表現を使用します。

過剰な謝罪は逆効果です。

何が流出したかの明確説明

何が流出したかを明確に説明します。

「Curio je sljedeći podatak: [opis]」(流出データ:[説明])の形式です。

具体的データ項目を明示します。

顧客が取るべき措置(パスワード変更等)

顧客が取るべき措置を案内します。

「Preporučujemo: [list]」(推奨:[リスト])の形式です。

パスワード変更、銀行明細確認、フィッシング警戒等が標準です。

連絡先・問い合わせ方法

連絡先・問い合わせ方法を提示します。

「Za dodatna pitanja: [DPO contact] / [hotline]」(追加質問:[DPO連絡先]/[ホットライン])の形式です。

専用ホットライン設置が信頼回復に有効です。

内部報告メール(社内向け)

内部報告メールの定型です。

「[INTERNO HITNO] Povreda osobnih podataka – [Datum]」

社内緊急通知の標準件名です。

Predmet:[INTERNO HITNO] Povreda osobnih podataka – 25.04.2026

社内文書として明示することで対外漏洩を防ぎます。

経営陣・Pravni odjel・DPO・IT管理者への配信

経営陣、Pravni odjel(法務部)、DPO、IT管理者へ配信します。

クロアチア大企業ではPredsjednik uprave(社長)も配信先に含めます。

意思決定速度の確保が目的です。

客観的事実のみ記録、主観判断は別途

客観的事実のみ記録し、主観判断は別途記載します。

「Činjenice: [list]. Procjena DPO-a: [opis]」(事実:、DPO評価:)の形式です。

後日法的調査時に重要となります。

流出規模別対応

流出規模別の対応です。

100件未満(軽度)

100件未満(軽度)はAZOP通報判断ケースバイケースです。

「Niski rizik」と評価される場合は通報不要の可能性があります。

ただし内部記録は必須です。

100-1000件(中度)

100-1000件(中度)はAZOP通報必須です。

顧客通知は影響内容により判断します。

記者発表は通常不要です。

1000件超(重度・メディア対応必要)

1000件超(重度)はAZOP通報+顧客通知+メディア対応が必要です。

クロアチア大企業はPRチームと連携します。

「Službena izjava」(公式声明)の発出も検討します。

文書化の徹底

文書化の徹底です。

タイムライン記録(発見・通報・対応の各時刻)

タイムライン記録を徹底します。

発見時刻、DPO認識時刻、AZOP通報時刻、顧客通知時刻の各タイムスタンプを記録します。

72時間ルール遵守証拠となります。

内部メール・ログの保全

内部メール・ログを保全します。

クロアチア法ではメール記録も法的証拠として認められます。

削除・改竄は重大な違法行為です。

後日AZOP調査時の証拠

後日AZOP調査時の証拠を準備します。

AZOPは違反時に詳細な調査を実施し、文書提出を要求します。

事前準備が罰金軽減につながります。

AZOP通報後のフォロー

AZOP通報後のフォローです。

AZOPからの追加質問への対応

AZOPからの追加質問に迅速対応します。

「Odgovor na upit AZOP-a od [datum]」([日付]のAZOP問合せへの回答)の形式です。

遅延は不誠実とみなされます。

調査進捗の継続報告

調査進捗を継続報告します。

「Privremeni izvještaj o napretku istrage」(調査進捗暫定報告)の標準形式です。

週次・月次報告がAZOP要請により異なります。

是正措置の報告

是正措置を報告します。

「Implementirane mjere za sprječavanje ponavljanja」(再発防止措置)の詳細報告です。

システム改善、教育実施、組織変更等を含めます。

関連法令との連携

関連法令との連携です。

クロアチア個人情報保護法(Zakon o provedbi opće uredbe o zaštiti podataka)

クロアチア個人情報保護法はGDPR国内実装法です。

AZOP組織、罰金規定、特例規定(ジャーナリズム・科学等)を規定しています。

2018年5月発効です。

電子商取引法(Zakon o elektroničkoj trgovini)

電子商取引法も関連します。

オンライン取引の個人情報処理ルール、Cookie規制、マーケティングメール規制を含みます。

違反時はAZOP罰金とは別の罰金が科されます。

通信法(Zakon o elektroničkim komunikacijama)

通信法も関連します。

通信業者(Hrvatski Telekom・A1・Tele2等)には追加義務があります。

HAKOM(規制機関)監督下です。

国際的影響評価

国際的影響評価です。

EU加盟国全体への影響

EU加盟国全体への影響を評価します。

クロアチア企業がEU各国の個人情報を扱う場合、各国DPAへの通報判断が必要です。

EU市民の個人情報は全EU共通の保護対象です。

他国データ保護機関との連携(One-Stop-Shop)

One-Stop-Shop規定により、Lead Authority経由通報が可能です。

クロアチア企業の場合、AZOPがLead Authorityとなることが多いです。

EU横断的な調整が行われます。

日本との越境データ移転条項

日本との越境データ移転条項も考慮します。

EU-日本間は十分性認定(Adequacy Decision)により規制緩和されていますが、流出時はクロアチア法が優先適用されます。

日本本社への報告も必要です。

日本人のAZOP対応NG

日本人が陥りやすいNGパターンです。

72時間ルールの軽視(カウントは発見即時)

72時間ルールの軽視は致命的です。

カウントはDPO認識時即時開始です。

日本式の「内部調整後通報」の発想は通用しません。

通報遅延を「調査中」で言い訳

通報遅延を「調査中」で言い訳することは認められません。

調査未完でも、判明範囲で先行通報する義務があります。

追加判明事項は後日続報します。

顧客通知の脱落(Article 34違反)

顧客通知の脱落はGDPR第34条違反です。

AZOP通報のみで終わらせる日本式は不適切です。

高リスク時は必ず顧客通知も併行実施します。

AZOP通報の完成例

AZOP通報メールの完成例です。

件名と冒頭

件名と冒頭の例文です。

「Predmet: Obavijest o povredi osobnih podataka po čl. 33 GDPR – Incident #2026-0425-001」

「Poštovani, sukladno čl. 33 Opće uredbe o zaštiti podataka, prijavljujemo povredu osobnih podataka.」

(1) Sukladno čl. 33 Opće uredbe

(2) スクラドノ チラヌ 33 オプチェ ウレドベ

(3) 一般規則第33条に従って

5項目の構造化

本文5項目を構造化します。

「1. Sažetak. 2. Vrste podataka. 3. Posljedice. 4. Mjere. 5. DPO contact.」の5項目です。

各項目を箇条書きで整理します。

結語

結語の例文です。

「Stojimo na raspolaganju za dodatne informacije. S poštovanjem, [DPO Ime Prezime]」

大文字V/Vas/Vam徹底です。

AZOP通報の業界別事例

AZOP通報の業界別事例です。

金融業界の事例

金融業界(Zagrebačka Banka・PBZ・Erste・OTP等)はAZOP通報経験が豊富です。

HNB(クロアチア国立銀行)監督下のため厳格対応が標準です。

口座番号、取引履歴等の流出は最重大事故扱いです。

通信業界の事例

通信業界(Hrvatski Telekom・A1・Tele2等)はHAKOMとAZOPの両方への通報義務があります。

通話履歴、SMS内容、位置情報等の流出は重大事故です。

通信法とGDPRの両方が適用されます。

医療業界の事例

医療業界はクロアチアヘルスケア法(Zakon o zdravstvenoj zaštiti)も適用されます。

病歴、診断、薬歴等の医療情報は最高機密です。

違反時の罰金は通常GDPR罰金より重いです。

EC・小売業界の事例

EC・小売業界(Konzum・Tisak・Plodine等)は顧客データベース流出事例が多いです。

ロイヤリティカード情報、購買履歴等の流出は中度リスクです。

顧客通知が標準対応となります。

関連記事はクロアチアトラブル対応メール完全ガイド誤送信・BCC漏れの訂正メール完全ガイドPritužbe Klijenata対応完全ガイドクロアチア語謝罪メールクロアチア語添付メールを参照してください。


タイトルとURLをコピーしました