【2022年 日本初事例も】GDPRに違反するリスクとは？ICOが企業に制裁金を科した事例

2018年にEUで施行されたGDPR（EU一般データ保護規則）は、個人情報のあり方が多様化している現代の基準となる、新たな個人情報保護のルールです。GDPRにならい、個人情報の取り扱いを改める流れが世界各国で見られるほど、GDPR施行の影響は大きなものとなっています。

2022年11月には、GDPR施行後日本企業で初めて制裁金を科された事例も発生し大きな話題となりました。

このページでは、GDPRの概要と、規定に違反することのリスク、実際にGDPRの違反を指摘されて制裁金を科せられた国内外の事例をご紹介します。

1. GDPR（EU一般データ保護規則）の概要

GDPR（General Data Protection Regulation）は、EUにおける個人情報保護のための法律です。2018年5月に施行されました。

GDPRは、既存の法令より広義での個人情報を保護対象とし、制裁金の金額が大きいことで知られています。以下が、GDPRが保護すべき情報として定義する、個人にまつわるデータの概要です。

(1) 「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。 引用：個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則」

GDPRは、個人情報を取得するにあたりユーザーから同意を得ることを必須としており、個人情報を取得する目的と利用目的についてユーザーに明示し、保管期間等も伝えるよう定めています。

GDPRに違反する最大のリスクは巨額な制裁金

GDPRに違反した場合には下記規定に則り、ICOを始めとするデータ保護機関から制裁金の支払いを命じられます。

以下の資料は、日本貿易振興機構（ジェトロ）がGDPR違反にともなう制裁金の基準、およびGDPR違反の類型を日本語でまとめたものです。

出所：日本貿易振興機構（ジェトロ）「「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」

少なくとも1,000万ユーロ（約12億円）、義務違反のケースによっては2,000万ユーロ（約23億円）が制裁金の最低額として設けられており、事業規模によってはさらに多くの支払いを要求されます。

GDPRに違反する最大のリスクは、こうした制裁金の大きさだといえるでしょう。

ICO（英国個人情報保護監督機関）とは？

ICO（英国個人情報保護監督機関）は、英国のデータ保護機関です。GDPRに違反する企業を取り締まる役割を担っており、GDPRに違反した企業に対して制裁金を科す権限を有しています。

GDPR違反による過去最大規模の制裁金は、いずれもICOのもと取り締まりが行われたものです。また、GDPRにまつわる情報を積極的に発信しているため、個人情報を扱う事業者はICOの判例・動向に注視する必要があるでしょう。

EUに関連する日本企業もGDPRの適用対象

GDPRはEUで施行された法令であるものの、EUに関わる事業活動を行っている事業者は日本企業であってもGDPRの適用対象となります。

具体的には、以下のケースがGDPRの適用対象となるため、EUに関わる事業活動を行う場合には義務違反に注意しなければなりません。

• EUに子会社・支店・営業所を有している

• 日本からEUに商品・サービスを提供している

• EU域内から個人情報の処理を受託している

参考：EY Japan「EU一般データ保護規則（GDPR）の概要と企業が対応すべき事項」

GDPRの詳細や、GDPRが日本企業に影響するケース等の詳細はこちらの記事をご覧ください。
「GDPRとは？概要や日本企業が対策すべき項目を解説」

2. GDPR違反により制裁金を科された事例

過去、GDPRの違反を指摘されてICOから制裁金支払いの通告を受けた国外事例に加え、2022年11月に日本企業初の制裁金事例となったNTTデータの事例もご紹介します。

【日本企業初の制裁金事例】NTTデータ：制裁金6万4,000ユーロ（約940万円）

2022年11月、大手システムインテグレーション企業であるNTTデータ社のスペイン子会社（以下、NTTデータスペイン）に対し、取引先の顧客情報漏洩に対して過失があったとして、現地のデータ保護当局より約6万4,000ユーロ（約940万円）の制裁金が科されたことが公表されました。

本事例は、2021年8月に発生したNTTデータスペインが顧客管理システムを提供する保険会社での顧客情報の漏洩事件が発端とされています。当時より現地のデータ保護当局が調査を進めており、調査の結果、同社に対しても情報漏洩防止のためのセキュリティ対策が不十分であったと指摘されたものです。

この事例は、2018年にGDPR（一般データ保護規則）が施行されて以来はじめての日系企業に対する処分として大きく話題になりました。

Marriott International：制裁金9,920万396ポンド（約135億円）

ホテル事業を営む大手企業Marriott International社は、約3億3,900万件の個人情報を流出させたことでICOから9,920万396ポンド（約135億円）の制裁金を科せられています。

この大規模な情報流出は、Marriott International社が買収したStarwood社のシステムに起因するものですが、Starwood社の買収時に十分なデューデリジェンス（買収先企業の精査）を実行していなかったものと判断し、Marriott International社が制裁対象となりました。

British Airways：制裁金1億8,339万ポンド（約250億円）

約50万人の顧客データを漏えいさせたとして、航空事業を営むBritish Airways社はICOから制裁金1億8,339万ポンド（約250億円）を科す旨の通告を受けました。British Airways社の不完全なセキュリティ対策により氏名や住所、カード決済や予約内容が流出したものです。

Google：制裁金5,000万ユーロ（約62億円）

大手IT企業であるGoogleは、個人情報の利用目的がユーザーへ明確に提示されていないこと、およびユーザーの同意を一括取得していたことがGDPRに抵触するとして、フランスのデータ保護機関であるCNILから5,000万ユーロ（約62億円）の制裁金を科せられました。

ユーザーが個人情報にまつわる確認・変更を行うにあたり、目的を果たすまでの操作が煩雑である点が主に問題であると指摘されています。

GoogleのGDPR違反に対する制裁やその後のGoogleの対応については以下の記事でも詳しく解説しています。
「GDPR違反によるGoogle制裁の内容とは？制裁以降の動向について」

米アマゾン・ドット・コム：制裁金7億4,600万ユーロ（約970億円）

世界最大手ECサイトを運営する米アマゾン・ドット・コムは、消費者に対する広告表示がGDPRに違反しているとして、同社が欧州本社を置くルクセンブルクのデータ保護当局であるCNPDによって、7億4,600万ユーロ（当時約970億円）の制裁金を科されました。

GDPR違反による制裁金事例としては、過去最大の金額です。

これらの事例から、GDPRは制約金の金額が非常に高額であることがお分かりいただけるでしょう。

また、これまで日本企業に対しての制裁金事例がなかったこともあり、国内企業のGDPR対応はまだまだ進んでおらず、対応が完了しているとは言えない状態です。今回のNTTデータ社の事例をきっかけに、データ保護の体制や仕組みの見直し・強化を改めて進めていくことが重要です。

3. まとめ

GDPRは従来の類似法令に比べ、個人情報を取り扱う企業にとって厳しい規定内容の法令となっています。今回ご紹介したように、今後も日本企業に対して数百万～数百億円規模のペナルティを科せられる事例が続々と出てくる可能性も否めません。

GDPRはEUの法令ではあるものの、EUに関わりのある企業はGDPRの適用対象となる点に留意し、個人情報を取り扱う事業者は引き続きGDPRや類似法令の動向について注意することが求められます。

公開日：2020年6月29日