コラム

Column

第136回 GDPRに基づく制裁金執行事案

1.はじめに
(1)2018年5月25日、欧州でGDPR(General Data Protection Regulation:一般データ
保護規則)が施行されました。GDPRにおいては、従前の個人データ保護規制であった
EUデータ保護指令(Data Protection Directive 95)に比べ、欧州域外への適用が拡大
され、かつ、大きな制裁金(全世界年間売上高の4%または2000万ユーロが上限)が科
されるリスクがあることから、日本でも大きな話題となりました。
私自身、GDPRへ対応するための社内体制整備に関与させていただく中で、実際の執
行事例を調査する機会がありましたので、今回、施行から2年近くが経過し、実際に各
国でどのような制裁金が科されているかについてまとめました。

(2)GDPRに基づく制裁金を科す執行機関は、欧州委員会ではなく、加盟国それぞれが設置
する監督機関とされています(GDPR第58条)。複数加盟国で個人データを取り扱って
いる場合は、どこが主たる監督機関かという問題も生じますが、今回のコラムではその
問題はいったん措いておきます。
また、各監督機関における、制裁金を科すか否か及び金額の決定については、違反の
性質、重大性および期間、故意または過失、損失軽減のために講じられた措置、管理者
および処理者の責任の程度、関連する過去の違反、悪影響の軽減のための監督機関との
協力の程度、影響を受けた個人データの種類等の要素を考慮して、個別の事案に応じて
判断される、と規定されています(GDPR第83条2項)。

(3)現在のところ、日本企業に対しGDPRに基づいて何らかの制裁が執行された事案は見当
たらなかったため、欧州の主要国としてイギリス、フランス、ドイツの制裁金執行事案
を挙げさせていただきます。
2.イギリス(ICO[1][2]
(1)イギリスの監督機関は、ICO(Information Commissioner’s Office)です。
2018年5月25日以降、2019年3月4日までの間に、ICOが制裁金を科した事案が合計
51件ありましたが、そのほとんどが旧法(Data Protection Act 1998。以下
「DPA1998」といいます)に基づく執行であり、GDPRに基づく英国国内法である
Data Protection Act 2018に基いて制裁金が科された事案は、2019年12月20付で出さ
れた薬局運営会社に対する27万5000ポンドの制裁金のみでした。本件は、当該薬局運
営会社が、個人データの記載された文書を施錠されていない場所に置いていたことによ
り、約50万件の個人データを漏洩した事案です。
なお、制裁金に至らない事案としては、2018年10月24付で出されたカナダのデータ
ブローカーに対する執行が初めてとなるようです[3]
また、DPA1998に基づく制裁金も、GDPR施行後は高額化している傾向がみられま
す。DPA1998に基づく制裁金の上限は50万ポンドとされているところ、GDPR施行後
の2018年9月、10月に、それぞれ、DPA1998下の制裁金の上限であり過去最高額であ
る50万ポンドの制裁金を科していますし[4]、さらに2020年に入ってから制裁金を科し
た事案が3件ありますが、その全てが上限である50万ポンドの制裁金となっています。
制裁金を科すに至った事案の内容としては、DPA1998下のものが大多数とはなりま
すが、大量のデータ漏洩、同意なしのダイレクトメール発信・迷惑メール送信等の事案
が大部分を占めていました。

(2)未だ執行はされていませんが、調査中として大きく報道された重大案件としては、い
ずれも2019年7月9日に公表された、①British Airways社の漏洩事案、②Marriott
International社の漏洩事案があります。
① British Airways社の件
同社による脆弱なセキュリティ対策が原因で、アクセス記録が不正サイトに転用さ
れたことにより、2018年6月以降、顧客約50万人の個人データ(氏名、住所、ログ
イン状況、カード支払い、旅程予約の詳細等)が漏洩したとされるものです。ICO
は、2019年7月8日、British Airways社に対し、1億8339万ポンド(約250億円。同
社の世界収益1年分の1.5%)の制裁金を科す意向であることを表明しました[5]
British Airways社は、ICOの調査に協力し、本件が明らかになって以来、セキュリテ
ィ対策を改善しているとのことで、ICOの最終的な決定が待たれます。
② Marriott International社の件
同社が約3億3900万件の宿泊記録から約4年間にわたり個人データを流出させたと
されるものです。ICOは、2019年7月9日、Marriott International社に対し、9920
万0396ポンド(約130億円)の制裁金を科す意向であることを表明しました[6]。な
お、上記漏洩は、2014年にStarwood社のシステムが侵害された際に発生していたも
のですが、2016年にStarwood社を買収したMarriott International社に対しても、
買収時に十分なデューデリジェンスを行っておらず、また、システムの安全性をより
高めるためより多くの措置を実行すべきだったとしています。今後は、他社をM&Aで
取得する場合には、個人データやセキュリティの観点からのリスクも認識しておく必
要があることとなります。
3.フランス(CNIL[7]
(1)フランスの監督機関は、CNIL(Commission Nationale de l’Informatique et des
Libertés)です。2019年においては5件の制裁金事案(下記Google社の件を除けば最
高額50万ユーロ)、2018年においては、310件の調査中10件の制裁金事案が公表され
ていました。
なお、CNILでは、GDPR施行前の行為に対して法の遡及適用はしていないようです
が、GDPRの制裁金の上限を考慮した判断は行っているようです。
制裁金が科された理由としては、セキュリティの不備も多いものの、2019年に入っ
てからは、透明性の欠如、不十分な情報提供、有効な同意の欠如、データ取得時の保存
期間の違反といった違反事由も掲げられているようです。

(2)CNILが科した主な制裁金としては、大きくニュースにも取り上げられましたが、
2019年1月21日付で出された、GOOGLE LLCに対する5000万ユーロ(約62億円)の
制裁金があります。
本件は、2つのプライバシー保護団体の苦情申立をもとに調査が開始されました。当
該プライバシー保護団体は、Google社が、行動分析と広告ターゲティングを目的とし
た個人データの処理を行っていることについて、有効な法的根拠がないこと等を問題視
していました。
なお、Google社は、Google Ireland LimitedがEU内の主要な事業所と見なされるべ
きでありアイルランドのデータ保護機関に移送されるべきと主張しましたが、CNILは
これを認めず、CNIL自身が以下の判断を行いました。
CNILが認定したGoogle社の違反行為は、以下の2つです。
① 透明性のある情報提供を行う義務への違反
GDPR第12条によれば、データ管理者が提供する情報は容易にアクセス可能な方法
により提供しなければならないところ、実際にユーザーが特定の個人データ取扱いに
関連する情報にアクセスするには5~6アクションが必要であり、当該条文に違反する
としました。また、GDPR第13条においてデータ管理者がデータ主体に提供すべき情
報が規定されていますが、情報の一部は明確なものではなかったと認定されました。
② ターゲティング広告目的でのデータ処理のための法的根拠を備える義務への違反
GDPR第6条は、データ主体の同意がある場合、契約履行のために必要な場合、正
当な利益の目的のために必要となる場合等、データの取扱いが適法となる6つの根拠
を挙げているところ、Google社は、ターゲティング広告目的での処理についてもデ
ータ主体の同意を取得しており適法だと主張しました。しかし、CNILは、Google社
の処理の範囲がユーザーにとって理解し難いこと、デフォルトでチェックされたチェ
ックボックスによる同意であったこと等を理由に、当該同意は無効であって、
Google社はデータの取扱いが適法となる法的根拠を備えていなかったと判断しまし
た。
4.ドイツ(BFDI[8]
(1)ドイツでは、ドイツ連邦の監督機関であるBFDI(Der Bundesbeauftragte für den
Datenschutz und die Informationsfreiheit)が存在しますが、ドイツ連邦及び16州の
各監督機関がそれぞれ執行権限を持ち、基本的には各州の監督機関が執行を行っている
ようです。
ドイツの制裁金執行事例については網羅的には調査できていませんが、以下のような
制裁金執行事案がありました。

(2)まず、2018年11月21日、Baden-Württemberg州の監督機関が、ソーシャルメディ
アプロバイダーに対し、2万ユーロの制裁金を科したというものがあります。本件は、
ハッカー攻撃により、約33万人の個人データ(パスワード、メールアドレス等)が漏洩
したという事案で、監督機関は、当該プロバイダーが、ユーザーのパスワードをプレー
ンテキストで保存していたことなどが、セキュリティ確保義務(GDPR第32条第1項)
に違反していると判断しました。
次に、2019年10月30日、Berlin州の監督機関が、不動産会社に対し、1450万ユーロ
の制裁金を科した例もあります。本件は、雇用契約や所得などを含む過去の顧客個人情
報を不必要に保持し続けていたこと等を理由とするものですが、このような高額の制裁
金となった背景には、当該不動産会社はGDPR以前の旧法適用時の2017年6月に改善勧
告を受けており、その後の2019年3月の監査でも適切な対応がされていないと判断され
たという経緯も考慮されているものと思われます。本件は、ドイツにおいて初めて数百
万ユーロを超える制裁金を科された事案とのことのようです。
5.まとめ
以上のとおり、いわゆるデータプラットフォーマーに対する制裁金を除けば、多くの事案は、①データ漏洩をきっかけに、適切なセキュリティ管理がされていなかったとして制裁金を科されたもの、あるいは、②データ主体の望まない大量のダイレクトメール等を発信したものと考えられます。したがって、一般的な日本企業の現実的な対応としては、まずは、日本の個人情報保護法を遵守したうえで、データ漏洩を起こさないセキュリティ対策をとることが最重要と思われます。
もっとも、直近の事案を見れば、取扱いの適法化根拠を備えていないということや、保存期間を超えて保有していたといったことを理由にしたものも見られます。適法化根拠としての同意については日本よりも高いレベルが要求されていますし(GDPR第4条(11)参照)、保存期間については日本の個人情報保護法で法的義務とされていないところであり、注意が必要と考えられます。
なお、日本の個人情報保護法も、いわゆる3年ごと見直しとして、本年中の改正が予定されており、令和元年12月13日付で改正大綱が、令和2年3月10日付で閣議決定された改正案が、それぞれ公表されています[9]。今回の改正で創設される予定の「仮名加工情報」の制度は、GDPR上の仮名化の制度を参考にされているようですし、利用停止・消去等の請求権についての要件緩和なども、GDPR等海外の制度を参考に、より本人の意思を反映しうるようにするための改正であると考えられます。今後の3年ごと見直しにおいても、さらにGDPR等海外の個人情報保護法制の考え方に近づくことも十分考えられますので、それを見越した対応も望まれるところです。

以上

 


[1] https://ico.org.uk/

[2] イギリスは、2020年1月31日にEUを離脱しましたが、基本的にはGDPRと同内容の英国法(UK GDPR)が導入される予定とのことです。ただし、イギリスとEU間のデータ転送など個々の問題については、2020年度末までの移行期間中の交渉により定められることとなっています。https://ico.org.uk/for-organisations/data-protection-and-brexit/

[3] 事案としては、選挙のためのデータが選挙後も保有され、他の目的で使用されたということのようです。ICOは、一定期間内の個人データの消去という執行通知に従わない場合は、制裁金を科すということも通知しています。

[4] うち1件は上訴中。

[5] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

[6] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

[7] https://www.cnil.fr/fr

[8] https://www.bfdi.bund.de/DE/Home/home_node.html

[9] https://www.ppc.go.jp/news/press/2019/20191213/

https://www.ppc.go.jp/news/press/2019/20200310/