GDPRの制裁金が科せられた事例と求められるセキュリティ対策

 2020.10.21  カスタマーデータ活用ポータル編集部

GDPR(EU一般データ保護規則)は、EU各国だけでなく日本を含む諸外国にも影響がある法令です。実際、EU以外の国の企業が同法令により高額な制裁金を科せられ大きなニュースにもなっています。この記事では、GDPRとはそもそもどんな法令かといった基本から、制裁金が科せられた主な事例を紹介します。その上で、GDPRで処罰の対象とならないようにするためにはどうするべきかについても解説しているので、あわせて参考にしてください。

そもそもGDPRってなに?

GDPR(General Data Protection Regulation)とは、EU諸国内における個人情報の保護や取り扱いに関する法令です。日本語では「EU一般データ保護規則」と訳します。

GDPRは、1995年に施行された「Data Protection Directive 95(EUデータ保護指令)」に代わる法令です。クラウド化・ビッグデータ活用などIT技術が急速な発展を続ける昨今、個人情報が漏えいするリスクも高まっています。そうしたなかでEUではより厳格に個人情報を保護するため、EUデータ保護指令に代えて、2018年5月にGDPRを施行したのです。

GDPRではIPアドレスやCookieといったオンライン識別子も、個人情報とみなされるようになりました。また仮にEU諸国内にビジネス拠点をおいていなくても、EUに居住する人の個人情報を収集する組織は、GDPRの対象となります。EU外から短期の出張・旅行でEUに滞在した外国人のCookie等も、GDPRの保護対象です。

さらに厳しい罰則も、GDPRの大きな特徴となっています。違反企業に対しては、最大で年間売上(全世界)の4%、もしくは2,000万ユーロのいずれか高い方という制裁金が科せられるのです。

日本は十分性認定の対象国に

2019年1月、日本がGDPRの例外国にあたる「十分性認定」の対象国として認められたと発表されました。十分性認定とは、一定以上の水準で個人情報の保護が行われている国や地域に適用されるルールです。十分性認定が認められた場合、GDPRの煩雑なルールに従わなくても、EU諸国内で取得した個人情報をEU外へ持ち出し可能となります。(自国・自地域のルールに従って個人情報を保護することは必要です。)

ただし日本が完全に、GDPRの非対象になったわけではない点は注意しなくてはなりません。たとえばEU諸国内に設置した現地法人が、EUで個人情報を収集する際はGDPRのルールに従う必要があります。

また個人情報についての法令に違反してしまうと、GDPRの制裁金が科せられる可能性が残っている点にも注意しましょう。十分性認定のメリットは、あくまで「GDPRのルールで個人情報を処理する必要がなくなった」点に限られます。とはいえ、GDPRのルールに従い個人情報を運用するのは多大なコストがかかることから、このメリットは企業にとって非常に重要です。

GDPRの制裁金が科せられた事例

それではGDPRの制裁金が科せられた事例には、どんなものがあるでしょうか。ここでは代表的な事例を3つ紹介します。

Google:制裁金5,000万ユーロ(約62億円)

2019年1月、フランスのデータ保護機関(CNIL)がGoogleに対し、5,000万ユーロ(約62億円)の制裁金を科すと報道され世界を驚かせました。これはアメリカの大手IT企業が、GDPR違反による罰則を受けた初めての事例となります。

それではGoogleの何が、CNILにGDPRの違反と判断されたのでしょうか。主な論点は2つです。

第一には、Googleのサービスが個人情報を利用する目的について、ユーザーが把握しにくかった点があげられます。GDPRのルールでは個人情報の利用目的を、ユーザーに明確に説明しなくてはなりません。

しかしGoogleのサービスでは個人情報の利用目的について解説したページが複数あり、ページによってはアクセスするのに5~6回の操作が必要でした。この分かりづらさが、CNILに問題視されたのです。

第二のポイントは、個人情報を収集する際のユーザーへの同意の取り方です。GDPRでは当然ながら、個人情報の利用についてユーザーの同意が必要としています。

一方Googleでは、検索やYouTubeなど多くのサービスを運営しています。しかし個人情報の利用目的に関する説明や同意については、アカウント作成時の1回のみに限られていました。

CNILは利用目的ごとに同意を求めなくてはならないとして、Googleの手法を違反と判断したのです。

British Airways:制裁金1億8,300万ポンド(約246億円)

2018年に英航空大手British Airwaysが約50万件の顧客データを漏えいさせた件で、1億8,300万ポンド(約246億円)もの制裁金が科せられました。具体的には、氏名や住所のほか、予約内容・クレジットカード情報などが流出しています。

この件は、GDPR違反による制裁金がもっとも高額だった例です。英国のデータ保護機関「ICO」は、British Airwaysのセキュリティが不適切であったため、個人情報の漏えいが発生したと述べています。

Marriott International:制裁金9,920万396ポンド(約135億円)

米ホテルグループ「Marriott International」が約5億人分に及ぶ利用客の個人情報を漏えいさせた件で、9,920万396ポンド(約135億円)の制裁金が科せられました。流出した具体的な情報には、利用客の氏名や性別、生年月日・予約日・出発・到着時刻などが含まれています。

なお、この漏えいの直接の原因はMarriott Internationalが買収したStarwood社にあります。同社が運営する、宿泊データベースに不備があったのです。しかし買収時に十分な調査が行われていなかったとして、Marriott Internationalが処罰の対象となりました。

GDPRで求められるセキュリティ対策

それではGDPRによる制裁を受けないようにするためには、どのようなセキュリティ対策が必要となるでしょうか。ここでは参考までに、主な種類を抜粋して紹介します。

パスワード管理の暗号化

パスワードの管理について、暗号化自体は多くの企業が行っています。しかしながら、復号不可能な状態にまで高めるハッシュ化まではしていない企業も多いです。GDPRでは暗号化の手法についてルール化していませんが、CNILではハッシュ化を行うべきと述べています。

徹底したアクセス管理

2018年11月に報告されたポルトガルの病院における制裁事例からは、アクセス管理の重要性についてみてとれます。本事例では医師が296人しかいないにもかかわらず、985人分のアカウントが発行されるなど不備があることが問題視されました。アクセス管理については生体認証を導入して、特定の個人に紐づくIDを発行するなどの徹底が求められています。

データの最小化

GDPR第5条では、「個人データは、取り扱われる目的の必要性に照らして、適切であり、関連性があり、必要最小限に限られるものとする」としています。
参考サイト:https://www.oracle.com/technetwork/jp/database/security/wp-security-dbsec-gdpr-3073228-ja.pd

簡単に言うと、必要最低限以上の個人情報を収集してはならないということです。たとえば顧客に商品を配送するにあたり、クレジットカード情報は必要ありません。企業は取得する個人情報の量をおさえ、コンプライアンス境界を縮小することが推奨されているのです。

速やかな報告

GDPRでは仮に情報漏えいが発生した場合、72時間以内にGDPRが定めた監督機関に報告しなくてはならないとしています。これは速やかに報告することによって、できる限り被害が拡大しないように努めるためのルールです。

まとめ

GDPRは、EU諸国内の個人情報保護について定めた法令です。EU以外の国の企業でも、EUに居住する人の個人情報を収集する場合にはGDPRの対象となります。仮に違反したとみなされた場合は、非常に高額な制裁金を科せられる可能性があるため十分に注意しなくてはなりません。GDPRの処罰対象とならないためには、所定のセキュリティ対策を行っておくことか必要です。


RECENT POST「顧客管理」の最新記事


顧客管理

ソーシャルログインの仕組みと考慮すべき重要なポイント

顧客管理

ソーシャルログインで指標される個人情報とは?

顧客管理

データプライバシー保護法の傾向とこれから

顧客管理

個人情報保護法でさだめるオプトアウトとは?届出の手続きを確認

GDPRの制裁金が科せられた事例と求められるセキュリティ対策