GDPRに違反するリスクとは?ICOが企業に制裁金を科した事例

GDPR法律 2020.06.29
GDPRに違反するリスクとは?ICOが企業に制裁金を科した事例

2018年にEUで施行されたGDPR(EU一般データ保護規則)は、個人情報のあり方が多様化している現代の基準となる、新たな個人情報保護のルールです。GDPRにならい、個人情報の取り扱いを改める流れが世界各国で見られるほど、GDPR施行の影響は大きなものとなっています。

このページでは、GDPRの概要と、規定に違反することのリスク、実際にGDPRの違反を指摘されて制裁金を科せられた事例をご紹介します。

1. GDPR(EU一般データ保護規則)の概要

GDPR(General Data Protection Regulation)は、EUにおける個人情報保護のための法律です。2018年5月に施行されました。

GDPRは、既存の法令より広義での個人情報を保護対象とし、制裁金の金額が大きいことで知られています。以下が、GDPRが保護すべき情報として定義する、個人にまつわるデータの概要です。

image1.png

出所:個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則

GDPRは、個人情報を取得するにあたりユーザーから同意を得ることを必須化。個人情報を取得する目的と利用目的についてユーザーに明示し、保管期間等も伝えるよう定めています。

GDPRに違反する最大のリスクは巨額な制裁金

GDPRに違反した場合には下記規定に則り、ICOを始めとするデータ保護機関から制裁金の支払いを命じられます。

以下の資料は、日本貿易振興機構(ジェトロ)がGDPR違反にともなう制裁金の基準、およびGDPR違反の類型を日本語でまとめたものです。

image3.png

出所:日本貿易振興機構(ジェトロ)「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

少なくとも1,000万ユーロ(約12億円)、義務違反のケースによっては2,000万ユーロ(約23億円)が制裁金の最低額として設けられており、事業規模によってはさらに多くの支払いを要求されます。

GDPRに違反する最大のリスクは、こうした制裁金の大きさだといえるでしょう。

ICO(英国個人情報保護監督機関)とは?

ICO(英国個人情報保護監督機関)は、英国のデータ保護機関です。GDPRに違反する企業を取り締まる役割を担っており、GDPRに違反した企業に対して制裁金を科す権限を有しています。

GDPR違反による過去最大規模の制裁金は、いずれもICOのもと取り締まりが行われたものです。また、GDPRにまつわる情報を積極的に発信しているため、個人情報を扱う事業者はICOの判例・動向に注視する必要があるでしょう。

EUに関連する日本企業もGDPRの適用対象

GDPRはEUで施行された法令であるものの、EUに関わる事業活動を行っている事業者は日本企業であってもGDPRの適用対象となります。

具体的には、以下のケースがGDPRの適用対象となるため、EUに関わる事業活動を行う場合には義務違反に注意しなければなりません。

  • EUに子会社・支店・営業所を有している

  • 日本からEUに商品・サービスを提供している

  • EU域内から個人情報の処理を受託している

参考:EY Japan「EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

2. GDPR違反により制裁金を科された事例

過去、GDPRの違反を指摘されてICOから制裁金支払いの通告を受けた事例をご紹介します。

Marriott International:制裁金9,920万396ポンド(約135億円)

ホテル事業を営む大手企業Marriott International社は、約3億3,900万件の個人情報を流出させたことでICOから9,920万396ポンド(約135億円)の制裁金を科せられています。

この大規模な情報流出は、Marriott International社が買収したStarwood社のシステムに起因するものですが、Starwood社の買収時に十分なデューデリジェンス(買収先企業の精査)を実行していなかったものと判断し、Marriott International社が制裁対象となりました。

British Airways:制裁金1億8,339万ポンド(約250億円)

約50万人の顧客データを漏えいさせたとして、航空事業を営むBritish Airways社はICOから制裁金1億8,339万ポンド(約250億円)を科す旨の通告を受けました。British Airways社の不完全なセキュリティ対策により氏名や住所、カード決済や予約内容が流出したものです。

ここ挙げたMarriott International社とBritish Airways社に科せられた制裁金が、GDPRに違反したもののうち特に高額な事例として認知されています。

Google:制裁金5,000万ユーロ(約62億円)

大手IT企業であるGoogleは、個人情報の利用目的がユーザーへ明確に提示されていないこと、およびユーザーの同意を一括取得していたことがGDPRに抵触するとして、フランスのデータ保護機関であるCNILから5,000万ユーロ(約62億円)の制裁金を科せられました。

ユーザーが個人情報にまつわる確認・変更を行うにあたり、目的を果たすまでの操作が煩雑である点が主に問題であると指摘されています。

3. まとめ

GDPRは従来の類似法令に比べ、個人情報を取り扱う企業にとって厳しい規定内容の法令となっています。今回ご紹介したような数百億円規模のペナルティを科せられる事例が、今後も続々と出てくる可能性は否めません。

GDPRはEUの法令ではあるものの、EUに関わりのある企業はGDPRの適用対象となる点に留意し、個人情報を取り扱う事業者は引き続きGDPRや類似法令の動向について注意することが求められます。