2018年にEUで施行されたGDPRは、日本においても無関係ではなく、動向を注視するべき法令のひとつです。EU域内の居住者向けにビジネスを行う企業は、たとえEU域内に拠点がなかったとしても、遵守するべき法令のひとつです。
GDPRはルールの厳格さもさることながら、違反してしまった場合に高額な制裁金が課される点も特徴的で、企業にとって大きな法的リスクとなり得ます。
とはいえ、GDPRは日本の法令ではないため、実際にどの程度の企業や組織がどのくらいの制裁金が課されているのか?また、どういったケースが違反とされるのか?といった最新情報をタイムリーにキャッチアップし続けるのは厳しい面もあります。
この記事では、GDPRの制裁金がどの程度課されているのか、国別や業種別でランキング形式で紹介していきます。
違反項目別GDPR制裁金適用ランキング
2018年5月のGDPR施行以降、どのような違反によって、制裁金が課されているのでしょうか?
まず最初に違反事由ごとの累計金額から見ていきましょう。
1位: 一般的なデータ処理原則に違反
約24億ユーロ(約3,886億円)の制裁金が課されています。GDPRにおけるデータ処理の原則は以下の通りであり、データの取扱いに関して広範囲に影響しています。
1.適法性・公正性・透明性
データの本人に対して適法で公正、かつ透明性のある方法でデータを取り扱う。
2.目的の限定
特定の目的のためのみにデータを使用し、目的外の使用は行わない。
3.データの最小化
必要最小限の範囲でデータを収集する。
4.正確性
正確なデータを収集・維持する。
5.記録保存の制限
目的のために必要最小限の期間のみ保存する。
6.完全性・機密性
情報漏洩や不適切な取扱いを防ぐための措置を施す。
2位: データ処理の法的根拠が不十分
約16億ユーロ(2,665億円)の制裁金が課されています。法的な根拠は、GDPRの第6条で定められており、以下の内容のうち、少なくとも1つが適用される必要があります。
1.同意の取得
データ主体の同意を得ること。
2.契約履行のための必要性
データの取扱いが契約を履行するために必要であること。
3.法的義務の遵守
データを収集した企業が法的義務を遵守するために必要であること。
4.生命の保護
自然人の生命に関する利益を保護するために必要であること。
5.公的機関による職務遂行
公的機関やそれに準ずる組織が職務を遂行するために必要であること。
3位: 情報セキュリティを確保するための技術的・組織的対策が不十分
約4億8000万ユーロ(約750億円)の制裁金が課されています。GDPRの第32条ではデータの取扱いの安全性について定めており、技術的、組織的に十分な対策を施して安全を確保することが求められています。
1.個人データの仮名化または匿名化
データと個人を結びつけず、匿名性を確保する。
2.データを取り扱うシステムの要件
機密性・安全性・可用性・回復性を確保する。
3.システムの復旧能力
インシデント発生時、個人データを復元しアクセス可能な状態に復旧する能力を確保する。
4.安全性の確保
安全性の確保に必要なテストや評価、手順を用意する。
GDPRの違反事由は広範囲であり、遵守すべき項目も多岐にわたることが分かります。対策が不十分とみなされると制裁金の対象となる恐れがあります。
対策を実施していることを証明するエビデンスを記録として残しておくこともとても重要です。
以下の記事でGDPR対策のポイントを紹介しています。ご参考下さい。
【関連記事】:日本企業はGDPRに対応する必要はある?いま実施すべき対策を紹介
業種別GDPR制裁金額ランキング
次は、業種別にGDPR違反の適用による制裁金の累計金額を見てみましょう。
1位: メディア、通信、放送
296件適用されており、約33億ユーロ(約5,320億円)の制裁金が課されています。
GDPRで課された制裁金全体の3/4近くを占めており、罰金が課された企業の年間売上高の規模が大きいことが関係しているようです。
2位: 産業と商業
オンラインプラットフォーム、公益事業会社、食料品店チェーン、食品配達サービスなどが該当します。467件適用されており、約8億9,700万ユーロ(約1,515億円)の制裁金が課されています。
前述した違反項目の「一般的なデータ保護原則の不遵守」と「データ処理の不十分な法的根拠」が原因となるケースが多いようです。
3位: 雇用
雇用主が従業員のデータ処理を行うケースが該当します。144件適用されており、約3億5,000万ユーロ(約564億円)の制裁金が課されています。事業者の立場としては、顧客やユーザにとかく目が行きがちですが、雇用している従業員のデータであっても、慎重な取扱いが求められています。
従業員の健康や信仰、家族に関する情報をまとめていたドイツのファッション会社には3,500万ユーロもの罰金が課された事例もあります。
GDPRの制裁金は、該当企業の売上金額の影響を受けるため、大規模なグローバル企業が多く存在する業種業態では、制裁金が高額になる傾向があります。
日本企業を含むGDPR違反の事例を以下の記事でも紹介しています。ご参考下さい。
【関連記事】:GDPR違反は罰金を課される!?日本企業を含めた違反の事例を紹介!
国別GDPR制裁金額ランキング
最後にGDPRの制裁金が課された国をランキングで見てみましょう。
欧州に拠点を置き、グローバルに事業を展開している企業が本社や主要拠点に選んでいる国が上位に並んでいることが分かります。
タックスヘブン(租税回避地)との関連性もありそうですね。
1位: アイルランド
約28億ユーロ(約4,370億円)の制裁金が課されています。2位以下と比較して3倍以上の金額となっていますが、これは大手IT企業のMeta社が本社を構えている点が強く影響しているようです。
Meta社は2023年、ユーザデータを米国のサーバへ転送しており、GDPR違反として約12億ユーロの制裁金が課されました。その他にもターゲティング広告の表示に関する同意をユーザに強制しているとして9000万ユーロ、ユーザの個人情報がインターネット上で公開されているとして、2億6500万ユーロの制裁金がMeta社に課されたこともあります。
【参考】:1.2 billion euro fine for Facebook as a result of EDPB binding decision
2位: ルクセンブルク
約7億4000万ユーロ(約1254億円)の制裁金が課されています。ルクセンブルクのデータ保護局は2023年以降の報告書を発表していませんが、ビデオ監視システムや自動車の車両追跡システムに焦点を当てているようです。
3位: フランス
約3億7000万ユーロ(約596億円)の制裁金が課せられています。フランスのデータ保護局では2024年、以下の項目に重点を置くと発表しています。
1.未成年者に関するデータ
2.オリンピック・パラリンピックに関連するデータ処理
3.非物質化された販売領収書およびロイヤルティプログラムに関連するデータ処理
4.データ主体のアクセス権
その他: 未成年に対する配慮について
GDPRでは、未成年(16歳未満)について、法的に特別な配慮が必要としています。そのため未成年に関する個人データは、その処理において親権者の同意があった場合、その同意の範囲内に限って可能であるとしています。
オランダの事例になりますが、TikTokがプライバシーステートメントを英語のみで公開し、オランダ語で公開していなかったことに対して、子供のプライバシー保護において、透明性の確保や十分な説明責任を果たしていないとして、€750,000の制裁金を課した事例も実際に発生しています。
【参考】TikTok fined for children’s violating privacy
GDPR対策として、プライバシーステートメントの多言語対応は、今や必須事項と言えるでしょう。グローバルプライバシーステートメントについては、以下の記事でもご紹介しています。
【関連記事】プライバシーポリシーと個人情報保護方針に違いはある?目的や記載内容を解説!
ユーザデータの収集を行うなら、GDPR対策は必須事項
欧州で施行されたGDPRですが、日本企業であっても不適切なデータの取扱いにより罰則の対象となる恐れもあります。制裁金の金額が大きくなる傾向があるため、Webサイトやアプリでユーザ情報を収集するのであれば、細心の注意を払う必要があるでしょう。
GDPR以外にも電気通信事業法や個人情報保護法など、ユーザデータの取扱いに関連する法令は複数存在しており、年々増加傾向にあります。自社で全ての法令を網羅し、遵守することはスキルやリソースの面で難しい場合もあるでしょう。
RTmetricsは、プライバシー関連法を遵守しながらWebのアクセス解析を行えるツールです。GDPRや国内法が定める規則を遵守した運用を構築するのに適しており、自社のWebサイトに組み込むことで安全にデータ収集を行うことができます。
高精度なアクセス解析ツールとしてはもちろん、法的リスクを最小限に抑えるためのツールとしても、ぜひご検討ください。
