GDPRに違反するリスクについて、事例を基に徹底解説!
EUで2018年に施行されたGDPR(EU一般データ保護規則)は、グローバル化、情報技術の発展により、個人情報の在り方が多様化している現代の基準となっている個人情報保護ルールのことです。GDPRに従って、個人情報の取り扱いを見つめ直す企業が、世界各国で見受けられるほど、その影響力は多大なるものとなっています。
この記事では、GDPRの最大のリスク「制裁金」について事例を基に解説し、対策や対処方法を紹介しています。担当者の方は、記事を読んでリスクに備えましょう。
GDPRについて
GDPRは、General Data Prorection Regulation(EU一般データ保護規則)の略称です。2016年4月に制定され、2018年5月に施行されました。日本語では規則と翻訳されていますが、EU(※)の個人データ保護について規定している法律です。
GDPRは日本と同じように、EU域外の国に存在する企業に対しても影響があり、例えば視点や子会社がEU域内にある企業や、EU域内に所属している個人データを扱っている企業については、個人データの取り扱いにおいてGDPR要求事項全般またはその一部が適用されます。GDPRに違反した際の制裁金が巨額となるケースがあるため、GDPR遵守を求められる企業は対応が必要です。制裁金額は最大の場合、2000万ユーロもしくは企業の全世界の前年売上高の4%のどちらかの金額が大きい方が課せられることとなります。
※EU加盟国および欧州経済領域(EAA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン
GDPR違反の最大のリスクは「制裁金」
上記で述べたように、GDPRに違反した場合は、ICOをはじめとするデータ保護機関からの制裁金の支払いが命じられます。以下事例よりその大きさを把握しましょう。
NTTデータの制裁金事例(日本企業初)
2022年11月、大手システムインテグレーション企業のNTTデータ社がスペイン子会社において、取引先の顧客情報を漏洩したとして、現地のデータ保護当局より約6万4000ユーロ(約940万円)の制裁金が課されたことが公表されています。
本事例では、子会社であるNTTデータスペインが顧客管理システムを提供する保険会社での顧客情報jの漏洩事件が発端となったということです。当時より現地のデータ保護当局が調査を進めていて、調査の結果、同社に対しても情報漏洩防止を目的とするセキュリティ対策が不十分であると指摘されました。
この事例は、2018年にGDPRが施行されて、初の日系企業に対する処分となりました。
Marritt Internationalの制裁金事例
ホテル事業を経営している大手企業Marriott International社は、約3億3900万件の個人情報を流出させたことが要因となり、ICOから9920万396ポンド(約135億円)の制裁金が課されました。
この大規模な情報流出は、Marriott International社が買収しているStarwood社のシステムが要因ですが、Starwood社を買収した際に十分な調査を実行出来ていなかったと判断され、制裁対象となりました。
British Airwaysの制裁金事例
約50万人の顧客データを漏洩させたとして、航空事業を経営するBritish Airways社はICOから制裁金1億8339万ポンド(約250億円)を課す旨の通告を受けました。British Airways社の神尾駅ではないセキュリティ対策によって、個人情報、カード決済や予約内容が流出したというものです。
Googleの制裁金事例
世界的に大手IT企業であるGoogleは、個人情報の利用目的がユーザへ明確に提供されていないということ、またユーザーの同意を一括取得していたことがGDPRに抵触するため、フランスのデータ管理機関であるCNILから5000万ユーロ(約62億円)の制裁金が課せられました。
ユーザーが個人情報について確認や変更を行う際に、目的を達成するまでの操作が煩雑である点が主に問題視されています。
米アマゾン・ドット・コムの制裁金
世界最大手ECサイトを運営している米アマゾン・ドット・コムは、消費者に対しての広告表示がGDPRに違反しているということで、同社が欧州本社を置くルクセンブルクのデータ保護当局のCNPDによって、7億4600万ユーロ(当時約970億円)の制裁金を課されました。
GDPR違反によって制裁金が科された事例としては、過去最大の金額となっています。
上記事例から、GDPRの最大のリスクは制裁金であり、その金額の大きさは計り知れないものであるとお分かり頂けたのではないでしょうか。
また、日本国内の企業においてGDPR違反は珍しく、まだまだ対応が進んでいるとは言えない常態です。この記事をきっかけにデータ保護の体制、仕組みの見直し・強化を改めて進めていきましょう。
EUに拠点が無くてもGDPRが適用されるケース
次の2点の場合は、EU域内に拠点が存在しなくてもGDPRが適用される事となります。
①データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供(GDPR3条2項(a))
②データ主体の行動がEU域内で行われるものである限り、その行動の監視(GDPR3条2項)(b))
EU域内のデータ主体であるかは、その人物の国籍を問わず、EU域内に所在している比とかにより判断をされます。
以上2点は以下で解説します。
①「物品・サービスの提供」
例えば、日本国内のホテル・旅館業者がEU域内の人物から宿泊の予約を受けたり、EU域内の人物に商品を売ったりする場合にGDPRが適用されます。
旅行業者からEU域内の人々のまとまった予約を受ける際にも、EU域内のデータ主体個人データを取り扱うことになるからです。
また、現代ではインターネットを用いて海外からも容易にアクセス可能なため、インターネットで日本人向けに予約の受付をするだけでもGDPRが適用されるようにも思われがちですが、それのみですぐに適用されるということはありません。
②「行動の監視」
データ主体の個人的な嗜好や行動等を予測・分析することを目的として、インターネットを用いて追跡している場合は、行動の監視に当たります。
例えば、EU域内から来た宿泊客に対し、ターゲティング広告を行う場合などが行動の監視に値します。
子会社や業務委託先が違反した場合にも管理者責任が問われる
GDPRは、管理者責任も問われます。EEA域内の個人データを取り扱っている企業に子会社が存在する場合、子会社の管理責任も問われる可能性があり、関係ないと主張するのは難しいと考えておいた方が良いでしょう。
このように日本の所在している本社は違反していなくても、海外に所在する子会社や各地の拠点がGDPRに違反している可能性もあるので、関連会社も含めた対策を検討する必要があるでしょう。
また、業務委託をしてる場合も管理者責任が問われるので、委託先で個人データを取り扱っている場合も、委託先の管理体制を適切に再構築する事も求められます。
特にリストを作り、営業的なフォローアップメールやTELコールの実施、他にもユーザーサポートを外注しているケースには、注意して対策する必要があります。
個人データ漏洩してしまった場合の対応
①72時間ルールの適用
次に述べるような個人データ侵害が発生した場合、管理者は原則、侵害に気が付いた時から遅くても72時間以内に、監督期間に必ず通知しなければなりません。(GDPR33条1項)。
また、処理者は個人データの侵害に気づいた後、不当な遅滞無く、管理者へ通知しなければなりません。(GDPR33条2項)
個人データ侵害に該当してしまう事態
個人データ侵害とは、偶発的、違法なものどちらにも関わらず、いかに該当するものを言います(GDPR4条(12))。
・個人データ破壊、喪失、改変
・個人データの無権限の開示や無権限のアクセスを導くような送信や記録保存
・その他の個人データの安全性に対する侵害
監督機関への通知内容について
監督機関に通知すべき内容は以下の通りです(GDPR33条3項)。
・関係するデータ主体の類型や概数、関係する個人データ記録の種類や概数、個人データ侵害の性質について
・データ保護オフィサー(DPO)の名前と連絡先、もしくは、より多くの情報を入手することのできる他の連絡先
・個人データ侵害の影響を受け、発生する可能性がある事態
・起こる可能性のある悪影響を少しでも低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置、もしくは講ずるように提案された措置
データ主体に対する連絡を行う
個人データの侵害が人の権利・自由に対してリスクを発生させる可能性があると考えられる場合、管理者はデータ主体に対し、不当な遅滞なく、個人データ侵害を連絡することが必須です(GDPR34条1項)。
データ主体へは、少なくとも次の事項を連絡する必要があります(GDPR34条2項)。
・データ侵害の性質について
・データ保護オフィサー(DPO)の名前と連絡先、もしくは、より多くの情報を入手することのできる他の連絡先
・個人データ侵害の結果として発生するリスクについて
・起こる可能性のある悪影響を低減させる目的の措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置、または講ずるように提案された措置
まとめ
昨今グローバル化が進展し、世界中でビジネスを展開する企業が増えてきています。その一方で、情報通信技術も発展し、個人データに対する管理が重要視される時代です。それは、海外展開している企業だけでなく、国内企業も注意が必要だということです。企業担当者はGDPRを理解し、対策を実施しましょう。
セキュリティを強化することは、信頼を獲得し、企業のビジネス機会の創出につながります。
GDPRはコンサルティングサービスの支援による対策も可能です。株式会社UPFでは、自社状況がGDPRの要件を満たしているかどうかわからない、具体的に何をすれば良いかわからない、取引先からGDPRへの対策を求められている、将来的にEU展開を考えている、対外的にアピールしたい等、様々なお客様の要望にお答えします。ぜひこの機会に、Pマーク取得の実績No.1のコンサル会社UPFへの相談を検討してみてはいかがでしょうか。
お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
