日本企業に初めてのGDPR制裁金
GDPR(EU一般データ保護規則)という言葉が注目を集めてから数年経ちましたが、なかには未だ海の向こうの話だと思っている方もいらっしゃるかもしれません。
そのようななか、2022年11月、日本企業に初めてGDPRの制裁金が科されたことが明らかになりました。
日系大手通信社のスペイン子会社が、取引先の顧客情報漏洩に関し過失があったと判断され、2022年8月、現地のデータ保護当局より、約6万4,000ユーロ(約940万円)の制裁金が科されたのです。
今回のことの始まり
一昨年の2021年8月。スペイン子会社が顧客管理システムを提供している保険会社において、顧客情報の漏洩事件が発生し、データ保護当局が調査を始めました。その結果、スペイン子会社側に対し、情報漏えいを防ぐためのセキュリティ対策等が不十分であったとの指摘がなされたようです。
GDPRとは
そもそもGDPRとは、欧州連合(EU)で採択された「EU一般データ保護規則(General Data Protection Regulation)」のことで、2018年5月に施行されました。日本の個人情報保護法にあたりますが、対象となる情報範囲が広く、罰金も高額です。
違反した場合、最大2000万ユーロと全世界年間売上の4%までのいずれか高い方(GDPR第83条 5項)が課され、日本円にしておよそ25億以上という高額な制裁金を課される可能性があります。
高額制裁金事例
これまでの高額制裁金事例には、2019年フランスのデータ保護当局がGoogleに5,000万ユーロ(約62億円)科した事案や、2021年にルクセンブルクのデータ保護当局がAmazonに7億4600万ユーロ(約970億円)の支払いを命じた事案などがあり、年々増える傾向にあります。
GDPRの適用においては「自社は顧客管理システムを提供しただけであり、実際に個人データの取り扱いをしたのはシステムユーザである。」とはなりません。
システムの提供者、利用者ともに厳格な規制がかけられています。
さらに保護対象の個人データには、IPアドレスやCookie(クッキー)情報などのオンライン識別子も含まれます。
EUに拠点や子会社を持つ企業の営業活動における個人データの扱いはもちろん、拠点がどこにあろうと海外向けにWebサイトを展開している場合なども対応は必要です。サイト上ではさまざまなデータが取得されマーケティングなどに利用されており、EU域内からのアクセスも考えられるためです。
最近、WebサイトでCookieの利用について同意を得るポップアップやメッセージの表示が推奨されているのは、このためです。
日本の状況
一方で、日本はGDPRの十分性認定を受けています。個人データについて十分な保護水準を確保している国との決定を受け、個人情報保護法などの仕組みをもって代用できるようになりました。2020年には改正個人情報保護法が成立し、個人情報漏えい発生時の報告義務や利用目的外の不適正利用の禁止などの責務も追加されました。
とはいえEU圏内の個人情報に関する違反等があった場合はGDPRの処罰対象となるのです。
弊社の場合、外資系企業様とのお取引もあり自社サイトに英語版も持っています。
この事件を受け、弊社ビジネス・アソシエイツにおいても、データ保護やセキュリティへの対応につき、あらためて取り組んでいきます。
最後に
今回、日系企業へのGDPR制裁処分が公表されたことで、GDPRが身近なものとして意識されたと同時にデータ保護の重要性やその仕組みを改めて考える機会となったのではないでしょうか。
今後さらにサイトポリシーや、CMP導入、セキュリティ体制など、強化が進んでいくことと思います。
あらためてみなさんの会社でもデータ保護について見直してみてはいかがでしょうか。