AVG/GDPR データ侵害 melding|72시간以내 Autoriteit Persoonsgegevens 通報

ビジネスオランダ語フレーズ

オランダ AVG 違反通報は発覚から72時間以内に Autoriteit Persoonsgegevens への通報義務が発生します。

本記事は AVG art. 33・34 の通報フローと社内エスカレーションを反映した datalek melding メールを完全解説します。

親ハブはオランダ語のトラブル対応メール完全ガイドを参照してください。

  1. AVG(GDPR Nederland)基礎
    1. AVG とは(2018年5月施行)
    2. GDPR EU 規則とオランダ実装法の関係
    3. Autoriteit Persoonsgegevens(オランダ個人情報保護機関)
  2. Datalek(データ侵害)の定義
    1. Persoonsgegevens の漏洩・破壊・不正アクセス
    2. 偶発的・故意的 両方
    3. 影響を受けた個人の人数・敏感度評価
  3. 72時間ルール
    1. AVG art. 33 通報義務
    2. 「Vanaf het moment van bekendheid」(発覚から起算)
    3. 例外(hoog risico がない場合は通報不要)
  4. 内部初期対応(発覚から1時間以内)
    1. DPO・privacy officer 即時通報
    2. IT security チームエスカレーション
    3. 状況 freeze・evidence 収集
  5. Autoriteit Persoonsgegevens 通報フォーム
    1. 公式オンラインフォーム使用
    2. 必須記載事項(aard・categorieën・aantallen・gevolgen)
    3. 不完全な情報でも72時間以内提出
  6. 影響を受けた個人への通知(AVG art. 34)
    1. 「Hoog risico」の場合は当該個人にも通知義務
    2. 通知メールテンプレ
    3. クリア・直接的な情報提供
  7. 個人通知メールの構造
    1. 「Wij informeren u over een datalek」
    2. 漏洩した情報の種類明示
    3. 個人がとるべき対策(パスワード変更等)
    4. 連絡先・問合先
  8. 内部報告メール
    1. 件名「[CRITICAL – DATALEK] Onmiddellijke aandacht vereist」
    2. 経営陣・legal・PR への報告
    3. 客観的事実のみ・評価は別途
  9. 顧客・取引先への報告
    1. B2B 顧客への影響評価
    2. Verwerkersovereenkomst(処理者契約)下の通報義務
    3. 顧客 privacy team との連携
  10. メディア対応の判断
    1. 大規模 datalek の場合の press release
    2. PR・communicatie team 連携
    3. 「transparant maar gecontroleerd」のバランス
  11. 罰金リスクの評価
    1. 最大2000万ユーロ又は売上4%
    2. 過去の Autoriteit Persoonsgegevens 罰金事例
    3. 軽減要因(自主通報・改善措置)
  12. 再発防止の文書化
    1. Datalekregister(侵害台帳)の維持義務
    2. 改善措置の文書化
    3. 監査証跡
  13. 国際企業の追加考慮
    1. 複数EU加盟国の影響時 lead authority
    2. GDPR と他国法(米CCPA・英DPA)との比較
    3. グループ内通報フロー
  14. 日本人の AVG 対応 NG
    1. 72時間ルール無視
    2. 「日本では通常」の感覚で軽視
    3. 個人通知の遅延
    4. 文書化不足
  15. テンプレ全文サンプル
    1. AP 通報の冒頭メール(社内)
    2. 個人本人への通知

AVG(GDPR Nederland)基礎

AVG とは(2018年5月施行)

AVG は Algemene Verordening Gegevensbescherming の略で、GDPR のオランダ版実装です。

2018年5月25日に EU 全域で施行され、オランダでも同日効力発生しました。

個人情報の取扱に関する包括的な規制です。

GDPR EU 規則とオランダ実装法の関係

GDPR は EU 規則として直接適用され、追加の国内法が AVG として整備されました。

EU 統一基準のため、オランダ・ベルギー・ドイツ等の規則は基本的に同じです。

Autoriteit Persoonsgegevens(オランダ個人情報保護機関)

オランダの監督機関は Autoriteit Persoonsgegevens(AP)です。

本部は Den Haag、ウェブサイトは autoriteitpersoonsgegevens.nl です。

(1) De Autoriteit Persoonsgegevens (AP) is het Nederlandse toezichthouder.

(2) アウトリテイト・ペルソーンスヘーフェンス・イス・ヘット

(3) Autoriteit Persoonsgegevens(AP)はオランダの監督機関です

Datalek(データ侵害)の定義

Persoonsgegevens の漏洩・破壊・不正アクセス

Datalek には3類型があります: 漏洩(lekken)・破壊(vernietiging)・不正アクセス(onbevoegde toegang)。

すべての類型が AVG art. 33 の通報対象になり得ます。

偶発的・故意的 両方

偶発的な誤送信も故意的なハッキングも同じ datalek 扱いです。

「悪意がなかった」は通報義務を免除する理由になりません。

影響を受けた個人の人数・敏感度評価

影響を受けた個人数と情報の敏感度(機微情報か否か)で「hoog risico」を判断します。

判断は DPO が行うのが標準です。

72時間ルール

AVG art. 33 通報義務

(1) Op grond van AVG artikel 33 moet een datalek binnen 72 uur worden gemeld.

(2) オップ・フロント・ファン・アー・フェー・ヘー

(3) AVG 第33条に基づき、データ侵害は72時間以内に通報義務があります

「Vanaf het moment van bekendheid」(発覚から起算)

72時間は発覚時点から起算します。

「気づかなかった期間」は含まれませんが、合理的な発見遅延の証明が必要です。

例外(hoog risico がない場合は通報不要)

「hoog risico」のない datalek は通報不要ですが、社内記録は必須です。

判断ミスで通報漏れになると重大な違反になります。

内部初期対応(発覚から1時間以内)

DPO・privacy officer 即時通報

(1) Wij melden hierbij een mogelijk datalek voor uw beoordeling.

(2) ヴェイ・メルデン・ヒールバイ・エーン・モヘライク

(3) 評価のためデータ侵害の疑いを通報いたします

IT security チームエスカレーション

システム的な侵害の場合は IT security チームを並行で動かします。

侵入経路の遮断・証跡保全が緊急優先事項です。

状況 freeze・evidence 収集

関連システムの状況を凍結し、ログや証跡を保全します。

後の調査と AP 通報資料に必要です。

Autoriteit Persoonsgegevens 通報フォーム

公式オンラインフォーム使用

AP の公式ウェブサイトの通報フォームから提出します。

autoriteitpersoonsgegevens.nl/melden が窓口です。

必須記載事項(aard・categorieën・aantallen・gevolgen)

(1) Aard van het datalek, categorieën persoonsgegevens, aantallen betrokkenen, mogelijke gevolgen.

(2) アールト・ファン・ヘット・ダータレック

(3) データ侵害の性質、個人情報のカテゴリ、影響を受けた人数、想定される影響

不完全な情報でも72時間以内提出

72時間以内に完全な情報が揃わない場合でも、わかっている範囲で初回通報を提出します。

後追いで詳細を補充できます。

影響を受けた個人への通知(AVG art. 34)

「Hoog risico」の場合は当該個人にも通知義務

「hoog risico」と判定された場合は影響を受けた個人本人にも通知義務が発生します。

クレジットカード番号・パスワード等の漏洩は通常 hoog risico です。

通知メールテンプレ

(1) Wij informeren u over een datalek dat uw persoonsgegevens betreft.

(2) ヴェイ・インフォルメーレン・ユー・オフェル

(3) 貴方の個人情報に関わるデータ侵害についてご連絡いたします

クリア・直接的な情報提供

専門用語を避け、平易なオランダ語で何が起きたかを伝えます。

「lekkage」「ongeoorloofde toegang」など一般的な単語を選びます。

個人通知メールの構造

「Wij informeren u over een datalek」

冒頭で「データ侵害が発生した事実」を率直に伝えます。

遠回しな表現は逆に不安を招きます。

漏洩した情報の種類明示

(1) De volgende gegevens zijn betrokken: naam, email adres, telefoonnummer.

(2) デ・フォルヘンデ・ヘーフェンス・ザイン・ベトロッケン

(3) 影響を受けた情報: 氏名、メールアドレス、電話番号

個人がとるべき対策(パスワード変更等)

(1) Wij raden u aan uw wachtwoord direct te wijzigen.

(2) ヴェイ・ラーデン・ユー・アーン

(3) 即座にパスワード変更されることをお勧めします

連絡先・問合先

個人質問の連絡先(DPO 直通・専用メール)を明示します。

「Voor vragen: dpo@example.com」が標準です。

内部報告メール

件名「[CRITICAL – DATALEK] Onmiddellijke aandacht vereist」

(1) [CRITICAL – DATALEK] Onmiddellijke aandacht vereist – 72u melding

(2) クリティカル・ダータレック・オンミッデライケ・アーンダフト

(3) [緊急 – データ侵害] 即時対応必要 – 72時間通報

経営陣・legal・PR への報告

初期報告は CEO・COO・legal director・communicatie director の4者に同時送信します。

経営判断が必要なため、段階的報告では遅延します。

客観的事実のみ・評価は別途

初期報告では客観的事実のみを記載し、責任帰属の評価は別途検討フェーズとします。

初期段階で責任議論を始めると対応が遅れます。

顧客・取引先への報告

B2B 顧客への影響評価

B2B 取引先のデータが漏洩した場合は、相手先の DPO に直接通報します。

処理者契約(verwerkersovereenkomst)に通報義務が定められています。

Verwerkersovereenkomst(処理者契約)下の通報義務

(1) Op grond van onze verwerkersovereenkomst informeren wij u over dit datalek.

(2) オップ・フロント・ファン・オンゼ

(3) 弊社の処理者契約に基づき、データ侵害をご連絡いたします

顧客 privacy team との連携

大口顧客の privacy team と直接連携し、対応の整合性を保ちます。

個別対応のばらつきは顧客側で混乱を招きます。

メディア対応の判断

大規模 datalek の場合の press release

10万人以上の影響がある datalek はメディアに先行して情報公開する企業もあります。

「メディアから情報を聞かされる」事態を避ける戦略です。

PR・communicatie team 連携

メディア対応は PR チームが主導します。

担当者個人がメディアと直接話すリスクを避けます。

「transparant maar gecontroleerd」のバランス

透明性と情報統制のバランスが重要です。

不確かな情報を出すと後の訂正で信頼を損ないます。

罰金リスクの評価

最大2000万ユーロ又は売上4%

AVG 違反の最大罰金は2000万ユーロまたは年間売上の4%(高い方)です。

大企業では数億ユーロの罰金もあり得ます。

過去の Autoriteit Persoonsgegevens 罰金事例

過去の罰金事例として Booking.com(475万EUR、2021年)、Uber(170万EUR、2018年)等があります。

業界・規模に関わらず厳格に適用されます。

軽減要因(自主通報・改善措置)

自主通報・迅速な対応・組織的改善措置は罰金額の軽減要因になります。

逆に隠蔽・遅延通報は加算要因です。

再発防止の文書化

Datalekregister(侵害台帳)の維持義務

すべての datalek は通報義務がなくても社内台帳に記録する義務があります。

AP の監査時に提示できる体制が必要です。

改善措置の文書化

(1) Wij hebben de volgende technische en organisatorische maatregelen geïmplementeerd.

(2) ヘイベン・デ・フォルヘンデ・テクニッセ

(3) 以下の技術的・組織的措置を実装いたしました

監査証跡

改善措置の実装日付・担当者・効果評価を文書化します。

ISO 27001 や SOC 2 監査でも要求される証跡です。

国際企業の追加考慮

複数EU加盟国の影響時 lead authority

複数 EU 加盟国に影響する場合は「lead supervisory authority」(主監督機関)を特定します。

本社所在国の機関が主担当となります。

GDPR と他国法(米CCPA・英DPA)との比較

米 CCPA・英 DPA との比較で、最も厳格な基準を採用します。

多重コンプライアンスが大規模企業の標準です。

グループ内通報フロー

グループ会社全体で標準化された通報フローを整備します。

子会社個別の判断による不整合を防ぎます。

日本人の AVG 対応 NG

72時間ルール無視

日本式の「上司確認後に通報」は72時間ルールに間に合わない可能性があります。

権限委譲を事前に整備します。

「日本では通常」の感覚で軽視

日本の個人情報保護法より AVG ははるかに厳格です。

同じ感覚で対応すると重大な違反になります。

個人通知の遅延

影響を受けた個人への通知遅延は AP の重視ポイントです。

「会社内部処理優先」の感覚は通用しません。

文書化不足

口頭やチャットでの判断記録は AP 監査で証拠能力がありません。

すべて正式な文書で残します。

誤送信による datalek はVerkeerd verzonden email correctie ガイドと組み合わせます。

クレーム対応との連携はKlachtenafhandeling email ガイドを参照してください。

謝罪表現の基本はオランダ語謝罪メールガイドで詳しく解説しています。

トラブル対応の全体像はトラブル対応ハブから横断的に確認できます。

テンプレ全文サンプル

AP 通報の冒頭メール(社内)

Onderwerp: [CRITICAL – DATALEK] Onmiddellijke aandacht vereist – 72u melding

(1) Beste DPO,

(2) ベステ・デー・ペー・オー

(3) DPO 様

(1) Op 18-04 om 14:35 hebben wij een mogelijk datalek ontdekt.

(2) オップ・アハティーン・アプリル・ヘイベン

(3) 4月18日14時35分にデータ侵害の疑いを発見しました

(1) Aard: ongeoorloofde toegang tot klantgegevens database.

(2) アールト・オンヘオールロフデ・トーハング

(3) 性質: 顧客情報データベースへの不正アクセス

(1) Aantal betrokkenen: ongeveer 5.000 personen.

(2) アーンタル・ベトロッケン・オンヘフェール

(3) 影響を受けた人数: 約5,000名

(1) Categorieën: namen, email adressen, telefoonnummers.

(2) カテホリーン

(3) カテゴリ: 氏名、メールアドレス、電話番号

(1) Onmiddellijke acties: toegang gesloten, log analyse gestart.

(2) オンミッデライケ・アクチーズ・トーハング・ヘスローテン

(3) 即時アクション: アクセス遮断、ログ解析開始

(1) Verzoek om beoordeling voor melding aan AP binnen 72 uur.

(2) フェルゾーク・オム・ベオールデーリング

(3) 72時間以内の AP 通報のための評価をお願いします

(1) Met vriendelijke groet, Hiroshi Yamada

(2) メット・フリーンドライケ・フルット

(3) よろしくお願いします、山田博

個人本人への通知

(1) Beste klant, wij informeren u over een datalek dat uw gegevens betreft.

(2) ベステ・クラント・ヴェイ・インフォルメーレン

(3) お客様、貴方のデータに関わるデータ侵害をご連絡いたします

(1) De volgende gegevens zijn betrokken: email adres en wachtwoord (gehashed).

(2) デ・フォルヘンデ・ヘーフェンス・ザイン・ベトロッケン

(3) 影響を受けた情報: メールアドレスとパスワード(ハッシュ化済み)

(1) Wij raden u aan uw wachtwoord direct te wijzigen.

(2) ヴェイ・ラーデン・ユー・アーン

(3) 即座にパスワードを変更されることをお勧めします

(1) Voor vragen: dpo@example.com.

(2) フォール・フラーヘン

(3) ご質問の連絡先: dpo@example.com

タイトルとURLをコピーしました