【2022年】GDPR違反による日本企業初の制裁金事例を解説!~概要から違反の内容まで~

GDPR法律 2023.01.30
【2022年】GDPR違反による日本企業初の制裁金事例を解説!~概要から違反の内容まで~
>>「個人情報保護」「GDPR」対応できていますか?課題の発見・対策はプロのにお任せ!詳しくはこちら

2018年にEUで施行されたGDPR(General Data Protection Regulation/EU一般データ保護規則)は、個人情報のあり方が多様化している現代の基準となる、個人データ保護やその取り扱いについて詳細に定められた法令です。

施行から4年が経った2022年11月に、GDPR違反による日本企業初の制裁金事例が公表され、大きく話題になりました。

本記事では、当社のパートナー企業であるPrighter Group協力のもと、日本企業初の制裁金事例について詳しく解説いたします。

1. GDPR違反による日本企業初の制裁金事例の概要

ここではまず、2022年11月に公表された日本企業初の制裁金事例について概要をご説明します。

日本の大手システムインテグレーション企業のNTTデータのスペイン子会社であるEVERIS/NTT Data Spain(以下、EVERIS)に対し、データ漏洩の件でGDPRに違反したとして、スペインデータ保護当局AEPDから6万4,000ユーロ(約930万円)の罰金を課されました。

EVERISは、スペインの保険会社に技術インフラを提供している企業です。データ侵害によって、複数の保険会社のデータ主体の個人データが流出。この件がきっかけとなり、スペインのデータ保護当局が2021年12月より調査を開始しました。

調査の対象となったのは、データ保護の基本原則(GDPR第5条)やデータ処理のセキュリティ要件、データ侵害発生時の報告義務、ならびにデータ侵害により影響を受けるデータ主体への通知義務(GDPR第32~34条)に対する違反です。

2. GDPR違反の内容

違反の内容には、大きく2つがあります。

2-1. 処理されたデータの完全性および機密性の侵害

完全性および機密性に関するデータ処理の基本原則(GDPR 第5条(1)(f))は、無権限または違法な処理、偶発的な損失、破壊、または損害から個人データを保護することを目的として定められています。

スペインのデータ保護当局は、EVERISが必要最低限の技術的措置を実施していなかったことにより、完全性と機密性に違反があったと判断しました。

この違反に対して、5万ユーロの罰金が課されています。

2-2. GDPR第32条への違反

GDPR 第32条では、処理された個人データの高度な保護を確立するための適切な技術的および組織的措置(TOMs)に対して、非常に高い条件を定めています。

当局は上記の通り、EVERISによる、データ侵害を防止するための適切な技術的および組織的措置が実施されていた証拠がなかった、と主張しています。

この違反行為に対して、3万ユーロの罰金が課されました。

2-3. 「自主的な罰金の支払い」で、制裁金が減額されている

EVERISは合計8万ユーロの罰金について、2つの減額の可能性を認められました。

1つ目は、「EVERISが当件の責任を認める場合」、2つ目は、「自主的に罰金を支払った場合」に適用されるものです。加えて、この2つの減額を合わせて受けることも認められました。

EVERISは2つ目の減額を利用し、2022年8月に6万4,000ユーロの罰金を支払いました。決議前の自主的な支払いにより、訴訟手続きは終了となりました。

AEPDは、2022年10月9日に決定書を公表。EVERISは責任を認めていないため、1つ目の減額は適用されていません。

GDPR違反における海外の制裁金事例はこちらの記事をご覧ください。
>>【2022年 日本初事例も】GDPRに違反するリスクとは?ICOが企業に制裁金を科した事例

3. データ侵害の手続きについて日本企業が知っておくべきこと

データ侵害の深刻さに応じて、企業は以下のうちいずれかの適切な対応を行なう必要があります。

  • インシデントを社内で文書化する
  • 管轄当局に報告する
  • 影響を受けるデータ主体に通知する

リスクが無視できない場合は、データ侵害の発生に気づいてから72時間以内に管轄当局に報告する必要があります。

ここでいう「気づく」とは、企業がデータ侵害発生の可能性を想定するのに十分な根拠を持つことを意味します。72時間以内にすべての事実を入手する必要はありません。また、予備報告を提出することも可能です。

EU域外の企業がデータ侵害を報告する必要がある場合、ほとんどのデータ保護当局は代理人を介した通知しか受け付けないため、まずGDPR第27条に従って代理人を選任する必要があります。データ侵害の届出が代理人を通していない場合、届出が却下されるケースもあります。

注意すべきは、データ侵害の手続きの場合、すぐにペナルティが課されるわけではない点です。当局は、事案の事実関係や潜在的なリスク・緩和要因を調査することを求めています。

>>「個人情報保護」「GDPR」対応できていますか?課題の発見・対策はプロのにお任せ!詳しくはこちら

代理人サービスについて

当社Priv Techのパートナー企業であるPrighter Groupは、複数のEU加盟国にオフィスを構え、ハイエンドテクノロジーを駆使したプライバシー代理人サービスを提供しています。そのため、すべての管轄データ保護当局への報告を容易に行うことが可能です。

また、データ侵害に対応するため、SaaSプラットフォームで以下のようなソリューションを提供しています。

  • インシデントのリスク評価を自動化、データ侵害を3つに分類:低リスク(文書化)、中リスク(当局に報告)、高リスク(データ主体への通知義務)
  • 対象となる当局への通知を作成、提出
  • データ主体に必要な情報を提供するためのプラットフォームの提供

Prighterを代理人として選任することで、コンプライアンスを向上、ならびに不測の事態に備えることが可能です。GDPR第27条における代理人について、サービスの活用をご検討中の企業様は、ぜひ一度当社にご相談ください。

>>Priv Techの「プライバシーコンサルティング」はこちら

公開日:2023年1月30日