RGPD/LOPDGDDインシデントは「内部評価→規制機関通知(72時間)→データ主体通知」の3段で進めます。
スペイン本国はAEPD、メキシコはINAI、アルゼンチンはAAIPと管轄機関が異なります。
本記事は72時間ルール・各国規制機関通知・データ主体への通知メール・影響軽減策提示までを体系化します。
個人情報漏洩の法的フレームワーク
各国法的フレームワークを理解します。
適用法は事業展開地域によって決まります。
スペイン本国: RGPD(EU GDPR)+ LOPDGDD
スペイン本国はRGPD(EU GDPR)+LOPDGDD(Ley Orgánica de Protección de Datos)が適用されます。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Aplicable: RGPD Art. 33 y LOPDGDD Art. 39 | アプリカブル・エレヘペデ・アルティクロ・トレインタ・イ・トレス | 適用法: GDPR第33条およびLOPDGDD第39条 |
規制機関はAEPD(Agencia Española de Protección de Datos)です。
メキシコ: LFPDPPP(INAI管轄)
メキシコはLFPDPPP(Ley Federal de Protección de Datos Personales)が適用されます。
規制機関はINAI(Instituto Nacional de Transparencia)です。
「sin dilación indebida」(不当な遅延なし)の原則が適用されます。
アルゼンチン: Ley 25.326(AAIP管轄)
アルゼンチンはLey 25.326(Ley de Protección de los Datos Personales)が適用されます。
規制機関はAAIP(Agencia de Acceso a la Información Pública)です。
EUデジタル協定(adequacy decision)対象国です。
コロンビア: Ley 1581(SIC管轄)
コロンビアはLey 1581が適用されます。
規制機関はSIC(Superintendencia de Industria y Comercio)です。
habeas data原則が憲法レベルで保障されています。
📘 スペイン語の語彙も、いっしょに。頻出単語を頻度順にまとめたPDF単語帳です。
72時間ルール(スペイン本国RGPD第33条)
72時間ルールはRGPD第33条の核心です。
厳守しないと巨額制裁の対象となります。
発見から72時間以内のAEPD通知義務
発見から72時間以内のAEPD通知が義務です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Notificación a la AEPD dentro de las 72 horas desde el conocimiento | ノティフィカシオン・ア・ラ・アエペデ・デントロ・デ・ラス・セテンタ・イ・ドス | AEPDへの通知は認知から72時間以内 |
「認知」の起算点は法務責任者・DPOが事実を把握した時点です。
通知必要性の判断基準
通知必要性を判断します。
「データ主体の権利と自由に対するリスクが認められる場合」が判断基準です。
低リスクの場合は内部記録のみで通知不要のケースもあります。
遅延時の制裁リスク(最大2,000万€または全売上4%)
遅延時の制裁は最大2,000万ユーロまたは全世界売上の4%です。
これは2020年代の最大級の規制リスクです。
大企業ほどリスク額が大きく、コンプライアンス投資が経営課題となっています。
インシデント評価の3段階
インシデント評価は3段階で進めます。
各段階の判断材料を準備します。
段階1: 発見と初期評価
段階1は発見と初期評価です。
「¿Hay datos personales involucrados? ¿Cuántas personas afectadas?」を即座に評価します。
1時間以内に初期評価を完了するのが理想です。
段階2: 影響範囲特定
段階2は影響範囲特定です。
影響を受けたデータ主体数、データ種別、漏洩経路を特定します。
24時間以内に詳細評価を完了します。
段階3: 規制機関通知判断
段階3は規制機関通知判断です。
リスク評価結果に基づき通知の要否を決定します。
判断は法務・DPO・経営層の合議で行います。
内部報告メールの型
内部報告メールは緊急性を伝えます。
関係者を即時集めるための文面です。
件名「[URGENTE – Incidente de Datos] OO」
緊急件名の標準型です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| [URGENTE – Incidente de Datos] Posible filtración de correos electrónicos por BCC | ウルヘンテ・インシデンテ・デ・ダトス・ポシブレ・フィルトラシオン | [緊急 – データインシデント] BCC漏れによるメール流出可能性 |
発生時刻・発見時刻・影響範囲
3要素を冒頭に明記します。
「Hora de ocurrencia: 14:30 / Hora de descubrimiento: 15:45 / Datos afectados: 50 correos」のような形式です。
時刻精度は分単位で記録します。
DPO/法務即時関与依頼
DPOと法務の即時関与を依頼します。
「Solicito intervención inmediata de DPO y departamento legal」と明示します。
連絡漏れを防ぐためメール+電話+メッセンジャーの3経路で通知します。
AEPD通知文書の構造(スペイン本国)
AEPD通知文書には標準構造があります。
必須項目を漏らさない注意が必要です。
「Notificación de Brecha de Seguridad」
AEPD通知書のタイトル表記です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Notificación de Brecha de Seguridad de Datos Personales | ノティフィカシオン・デ・ブレチャ・デ・セグリダー | 個人データセキュリティ違反通知 |
必須項目(事実・影響・対策・連絡先)
4つの必須項目を含めます。
事実関係、影響評価、対策実施状況、連絡先窓口(DPO)の4要素です。
各項目の詳細フォーマットはAEPDウェブサイトに公開されています。
電子提出(Sede Electrónica)
提出はSede Electrónica経由です。
電子証明書(DNIe・FNMT)またはCl@ve PINでの認証が必要です。
提出後、AEPDから受領番号が発行されます。
INAI通知(メキシコLFPDPPP)
メキシコINAI通知は手順が異なります。
独自フォーマットを準備しておきます。
「sin dilación indebida」(不当な遅延なし)
メキシコは「不当な遅延なし」原則です。
EUのような明確な72時間ルールはありませんが、実務上は迅速対応が期待されます。
72時間以内の通知が安全策です。
通知書フォーマット
INAI通知書フォーマットを使用します。
「Aviso de Vulneración de Seguridad」がタイトルです。
INAI公式サイトのテンプレートが利用可能です。
ARCO権利(Acceso/Rectificación/Cancelación/Oposición)
ARCO権利を尊重します。
影響を受けたデータ主体には4つの権利(アクセス・訂正・削除・反対)が保障されます。
権利行使窓口の明示が通知書に必須です。
AAIP通知(アルゼンチンLey 25.326)
アルゼンチンAAIP通知の手順です。
南米コーン共通の参考にもなります。
AAIPフォームの提出
AAIP公式フォームを提出します。
オンラインフォーム経由が標準です。
2018年改正で電子提出が義務化されました。
影響を受けたデータ主体数の集計
影響データ主体数を集計します。
10件以下、10-100件、100件超で対応レベルが異なります。
1,000件超は重大インシデントとして特別対応が必要です。
改善計画書の添付
改善計画書を添付します。
「Plan de Acción Correctiva」というタイトルで、3-6ヶ月の改善計画を示します。
具体的な技術的・組織的対策を含めます。
データ主体への通知(顧客連絡)
データ主体への通知は別プロセスです。
規制機関通知とは異なる文面が必要です。
RGPD第34条準拠の直接通知
RGPD第34条は直接通知を義務付けます。
「高リスク」と判断される場合は本人への直接通知が必要です。
名前・メールアドレスでの個別連絡が標準です。
「Le informamos sobre una posible afectación de sus datos」
標準的な通知開始表現です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Le informamos sobre una posible afectación de sus datos personales | レ・インフォルマモス・ソブレ・ウナ・ポシブレ・アフェクタシオン | お客様の個人データへの影響可能性についてお知らせします |
平易な言葉での説明
専門用語を避けます。
「データ主体」より「お客様」、「処理活動」より「使用」のような平易な表現を使います。
RGPD第34条は「明確かつ平易な言葉」での通知を義務付けています。
顧客連絡メールの型
顧客連絡メールには標準型があります。
パニック回避を意識した文面が必要です。
件名「Notificación importante sobre sus datos personales」
件名は明確に書きます。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Notificación importante sobre sus datos personales | ノティフィカシオン・インポルタンテ・ソブレ・ス・ダトス | お客様の個人データに関する重要なお知らせ |
4段構造(事実・影響・対策・連絡先)
4段構造で書きます。
事実説明、影響範囲、実施対策、問い合わせ窓口の4ブロックです。
各ブロックを見出しで区切ると読みやすくなります。
パニック回避の冷静な記述
パニック回避を意識します。
「No hay evidencia de uso indebido hasta el momento」のような事実ベースの記述で安心感を提供します。
過度に煽る表現は避けます。
影響軽減策の提示
影響軽減策を提示します。
具体的なサポートを示すと信頼回復に繋がります。
「Le ofrecemos OO meses de monitoreo de identidad」
ID監視サービス提供の標準表現です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Le ofrecemos 12 meses de monitoreo de identidad sin costo | レ・オフレセモス・ドセ・メセス・デ・モニトレオ・デ・イデンティダー | ID監視サービスを12ヶ月無償で提供します |
パスワード変更推奨
パスワード変更を推奨します。
「Recomendamos cambiar su contraseña como medida preventiva」と明示します。
具体的な変更手順をリンクで提供します。
不審な活動の報告窓口
報告窓口を提示します。
「Si detecta actividad sospechosa, contacte: incidentes@empresa.com」のように明示します。
24時間対応のホットラインがあれば理想です。
再発防止策の公開
再発防止策を公開します。
透明性が信頼回復の基盤です。
「Hemos implementado las siguientes medidas」
対策実施の標準表現です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Hemos implementado las siguientes medidas técnicas y organizativas | エモス・インプレメンタド・ラス・シギエンテス・メディダス | 次の技術的・組織的対策を実施しました |
技術的・組織的対策
2軸で対策を示します。
暗号化強化、アクセス管理見直し(技術的)、研修実施、プロセス見直し(組織的)の両輪です。
RGPD第32条が要請する「技術的・組織的対策」の枠組みに沿います。
定期監査の約束
定期監査を約束します。
「Realizamos auditorías trimestrales con terceros independientes」のような形式です。
外部監査の活用が信頼性を高めます。
メディア対応・プレスリリース
メディア対応はリスクとなります。
大規模インシデント時は特別対応が必要です。
大規模インシデント時の対応
1,000人超の影響時はメディア対応の準備が必要です。
PR会社・法務との連携で公式声明を準備します。
沈黙はかえって憶測を呼びます。
「Comunicado oficial」の作法
公式コミュニケの作法です。
| スペイン語 | 読み方 | 日本語訳 |
|---|---|---|
| Comunicado Oficial sobre Incidente de Seguridad | コムニカド・オフィシアル・ソブレ・インシデンテ・デ・セグリダー | セキュリティインシデントに関する公式声明 |
PR会社との連携
PR会社との連携が効果的です。
クライシスコミュニケーション専門のPR会社を事前選定しておきます。
緊急時に外部リソースを即座に活用できる体制が重要です。
後続対応(フォローアップ)
後続対応はインシデント収束後も続きます。
長期的な信頼回復が目標です。
AEPDからの追加質問への回答
規制機関からの追加質問に対応します。
初回通知後、AEPDから追加情報要求が来ることが多いです。
10営業日以内の回答が標準です。
データ主体からの問合せ対応
データ主体からの問合せが急増します。
FAQページを準備し、よくある質問は自動回答できるようにします。
個別対応窓口も24時間体制が望ましいです。
改善報告書の提出
改善報告書を提出します。
3-6ヶ月後に改善実施状況を規制機関に報告するケースが多いです。
「Informe de Implementación de Medidas Correctivas」がタイトルです。
インシデント記録(Registro)
インシデント記録は法的義務です。
RGPD第33条第5項が要請します。
RGPD第33条第5項の記録義務
第33条第5項は記録義務を規定します。
事実、影響、対策の3要素を記録に含めます。
規制機関の検査時に提示できる状態が必要です。
内部記録のフォーマット
内部記録のフォーマットを統一します。
「Registro de Brechas de Seguridad」というタイトルでExcel・Notion・専門ツールで管理します。
各インシデントに固有のIDを付与します。
5年間保存推奨
5年間保存が推奨です。
規制機関の事後監査・訴訟リスクに備えます。
クラウド+オフライン2重保管が安全策です。
日本人のRGPD対応NG
日本式の対応はRGPD違反となるリスクがあります。
典型的なNGパターンを把握します。
72時間ルールを軽視
72時間ルールの軽視は致命的です。
「日本では報告義務はない」という認識でEU基準を満たさないと巨額制裁の対象になります。
スペイン本国で事業展開する場合は完全準拠が必須です。
「お騒がせして申し訳ない」のみで対策不足
謝罪だけでは不十分です。
「Disculpen las molestias」だけで対策説明がないと、規制機関は不誠実と評価します。
対策実施状況の具体的説明が必須です。
法務未関与での独断対応
法務未関与は重大リスクです。
RGPDインシデントは法的判断が必要な領域で、IT部門単独の判断は危険です。
発見即時の法務関与が鉄則です。
関連記事としてスペイン語ビジネスメール完全ガイド、訂正メール、クレーム対応メール、謝罪メール、フォーマル表現もご活用ください。
📚 スペイン語をもっと伸ばすなら、まず語彙から。
どんな場面でも、会話の土台になるのは語彙力。スペイン語の頻出単語を頻度順に、発音・日本語訳・用例つきでまとめたPDF単語帳です。スキマ時間で効率よく基礎が固められます。
頻出500単語 入門編A1相当・最初の500語¥525 税込詳しく見る
頻出500単語 初心者編A2相当・次の500語¥525 税込詳しく見る
2冊セット(入門+初心者)入門+初心者を15%OFF¥893 税込まとめてお得に入門編 → 初心者編 の順がおすすめ/2冊セットなら15%お得
