2018年5月にEUで施行されたGDPRは、高度に発展したデータ社会において、個人データを保護する法律の基準ともなるべき存在になっています。各国や各地域では、GDPRにならい、類似した法の制定や施行の流れを加速しており、GDPR施行の影響は、今や計り知れないものとなっています。

GDPRでは、権利と義務の要件が厳密に定められており、GDPRに違反した企業や個人が負うことになるリスクは極めて甚大です。制裁金による金銭的なダメージにとどまらず、企業のブランドイメージを大きく棄損し、将来のビジネスに深刻な悪影響を及ぼす恐れもあります。

日本企業も例外ではなく、実際に罰金が課される事案も発生しています。

GDPRを遵守したシステムを構築・運用することは、今や重要なセキュリティ対策であり、リスク管理でもあると言えるでしょう。

この記事では、実際に発生したGDPRの罰金事例を通じて、どのようなリスクに備えなければならないのかを考えます。

GDPRに違反するリスクとは？

GDPRでは、違反した企業や個人に対して制裁金を科す場合があります。

ここでは、義務違反の類型と適用される制裁金の上限額について見てみましょう。

制裁金の支払い｜類型により上限額が異なる

GDPRの違反により高額な制裁金が課されたというニュースについては、法の施行から5年以上が経過し、耳慣れてきた面もあるかもしれません。

GDPRでは、義務違反の類型によって、制裁金の上限額が明確に定められています。

1,000万ユーロまたは全世界年間売上高の2％のいずれか高い方：第84条(4)

・16歳未満の子供に対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合（第8条）

・GDPR要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合（第25条、第28条）

・EU代理人を専任する義務を怠った場合（第27条）

・責任に基づいて処理行為の記録を保持しない場合（第30条）

・監督機関に協力しない場合（第31条）

・リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合（第32条）

・セキュリティ違反を監督機関に通知する義務を怠った場合（第33条）、データ主体に通知しなかった場合（第34条）

・影響評価を行わなかった場合（第35条）

・影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合（第35条）

・データ保護責任者（DPO）を選任しなかった場合、または、その職や責務を尊重しなかった場合（第37条～第39条）

【出典】：「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）

2,000万ユーロまたは全世界年間売上高の4％のいずれか高い方：第84条(5)

・個人データの処理に関する原則を遵守しなかった場合（第5条）

・適法に個人データを処理しなかった場合（第6条）

・同意の条件を遵守しなかった場合（第7条）

・特別カテゴリーの個人データ処理の条件を遵守しなかった場合（第9条）

・データ主体の権利およびその行使の手順を尊重しなかった場合（第12条～第22条）

・個人データの移転の条件に従わなかった場合（第44条～第49条）

・監督機関の命令に従わなかった場合（第58条）

【出典】：「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）

個人情報の漏洩やセキュリティ侵害など、発生したセキュリティインシデントの結果、制裁金が課されるのではなく、原因である義務違反に対して制裁金が課されている点に留意が必要です。

社会的な信用の失墜

GDPRは、EU域内で定められている規則ですが、その影響は世界中に及んでいます。違反した企業のイメージや信用は大きく損なわれ、企業としてのセキュリティやプライバシー、人権保護への取組みそのものが疑問視される結果となります。

もちろん、GDPR違反が発覚すれば日本国内においても大きな信用の失墜は免れません。企業にとって致命的な金額となるリスクもあり、一度の違反でビジネスに深刻な影響が出てしまう事態もないとは言えません。

実際に起きたGDPRの罰金事例

ここでは、GDPR違反により、実際に罰金の支払いを命じられた事例をいくつか紹介します。

大手SIer企業による個人データ漏洩

2022年11月、日本企業が初めてGDPRの制裁金を課された事例として、日本のSIerの子会社でスペインに拠点を持つ現地法人に対する制裁金のニュースが報じられました。該当企業は、スペインの保険会社に対して、技術的なサービスを提供している委託先企業でした。

顧客である保険会社において顧客の情報漏洩が発生し、調査の過程で保険会社の管理システムを手掛けた委託先企業である日本のSIerの子会社による、セキュリティ対策上の過失があったことが認められました。

スペインのデータ保護当局は、日本のSIerの子会社に対して、具体的には次の違反があったと指摘しています。

1．個人データの完全性及び機密性の侵害

データが破損しないこと、必要な権限によるアクセスによってのみ情報が開示されること、これらが完全性及び機密性を実現するために必要とされる要件ですが、必要最低限の技術的な措置が行なわれていなかったことにより、完全性と機密性における義務違反があったと指摘しています。

2．取り扱いの安全性（第32条）

GDPRでは、データを保護するための技術的および組織的措置に対する要件を定めています。スペインのデータ保護当局は、データ侵害を防止するための技術的および組織的な措置が実施されている証拠がなかったと指摘しています。

結果的に、同社は64,000ユーロ(約1,000万円)の支払いを行なっています。

【出典】：日本経済新聞（2022年11月10日）

【出典】：日経クロステック（2022年12月23日）

顧客データ使用方法への指摘

大手ECサイト運営企業に対して、フランスのプライバシー保護団体による申し立てが行なわれました。世界中に展開するECサイトの利用者情報について、実際にデータの流出は確認されていないながらも、罰金の支払いが命じられています。同社はこれに対し、データの漏洩は発生しておらず、求められた罰金に対しても異議を申し立てています。

その後の経過については、現時点で公開されていませんが、異議の申し立てが認められ、罰金の支払いが不要となったとしても、相応の工数やコストが掛かっていると思われます。

【出典】：Bloomberg（2021年7月30日）

休暇明けの従業員との面談記録への指摘

大手アパレル企業では、従業員の休暇や病欠明けにチームリーダーと従業員が面談を行なう制度を実施していました。その面談の内容は、音声やテキストにより保存されていましたが、2019年にシステム上の問題により、全社の誰もが該当データにアクセスできる状態となっていたことが判明し、重大なセキュリティインシデントとなりました。

ハンブルクデータ保護・情報公開局によりGDPR違反として指摘され、3,530万ユーロ(約56億円)の罰金が課せられました。

【出典】：European Data Protection Board（2020年10月2日）

情報漏洩やセキュリティ侵害が実際に発生していなかったとしても、データ管理者としての責任や義務違反を追求され、制裁金が課されているという点に注意が必要です。また、義務違反をしているため、そもそもデータの処理や移転をする権利がそのものがない、といった内容もビッグテックのプラットフォーマーに対する指摘としてよく見受けられます。

GDPRの各条項を精査し、ひとつひとつの規定に着実に対策していく以外に確実な方法はないと考えられます。

GDPRを遵守し制裁金のリスクを軽減するには

GDPRでは、明確に自社に重大な過失や責任があり、情報漏洩等の実際の被害が確認されている、というケースではなくても、法令義務違反で罰金の支払いを命じられるケースがある、ということを見てきました。

では、実際に企業としては、どのような対応をとればよいのでしょうか。

GDPRを正確に理解し、規定に対応できるシステムを使用する

データ管理と処理に関するGDPRの要件を深く理解することは、ユーザのプライバシーを守り、安全にビジネスを継続する第一歩と言えます。そのためには、個人データの収集、使用、保存などの各プロセスに関する法的要件に準拠したシステムやツールを実装する必要があります。

データの最小化、透明性、データ主体の権利保護など、GDPRが重視する原則を実現するための技術的、組織的対策を取り入れることが求められます。

明確なインシデント対応ポリシーを策定する

万が一のデータ漏洩やプライバシー侵害が発生した場合に迅速かつ確実に対応するため、明確なインシデント対応計画を準備することが重要です。違反を検知した場合に報告するプロセスや報告対象、関係する当局への通報義務の期限（認識してから72時間以内）と報告すべき内容、影響を受けたデータ主体への通知義務などが含まれます。これらは、すべて義務として規定されています。

GDPRでは、義務違反に対して制裁金が課されることは前述のとおりです。GDPRの義務違反による制裁金の支払い命令事体に異議を申し立てるケースも出てきていますが、異議の申し立ては、その後の訴訟リスクにもつながります。可能な限り、義務違反を指摘されない体制を構築し、確実に運用を実行することが現時点では、有効な対策と言えるでしょう。

大規模なプラットフォームを運営し、個人データを処理している企業の場合は、データの移転に関する諸規則の遵守が必須となります。GDPRが明示している諸規則や各規定に確実に対応することが重要と言えるでしょう。

GDPR対応で実施すべき対策については以下の記事でも詳解しています。合わせてご参考下さい。

【関連記事】：日本企業はGDPRに対応する必要はある？いま実施すべき対策を紹介

セキュリティやプライバシー、人権を保護する企業姿勢が重要

個人データを取扱う企業としては、セキュリティやプライバシー、人権の保護を尊重する企業姿勢や体制の構築、組織的な推進、ガバナンスが問われているとも言えます。これらの取組みの推進は、企業の社会的、国際的な信用を高めるだけではなく、これからの企業の経済活動においては義務とされている、とも捉えることができるでしょう。

一方でGDPRの義務違反には極めて大きなリスクがあり、そのリスク管理や対策を行なうことは企業にとって欠かせません。海外で定められている厳しい法的な規則を正しく解釈し、安心して運用できるシステムを構築することを困難に感じる企業も多いのではないでしょうか。

システムの実装においては、GDPRに対応した外部サービスを活用することで、大きな負担を背負うことなくGDPR対応を実現することができます。RTmetricsは、GDPRや改正電気通信事業法、個人情報保護法に対応したアクセス解析・分析環境を構築し、運用することが可能です。

GDPRや日本国内の法令を遵守したシステム実装に課題をお持ちの方は、ぜひRTmetricsを選択肢のひとつとしてご検討ください。