本ページでは、GDPR違反の制裁を受けるとどうなるかと、実際の制裁事例を紹介いたします。
GDPR違反の制裁
GDPRに違反すると、以下の2つの基準のうち、より高額な方を制裁金として課せられます。
- 企業の全世界売上高の4%
- 2,000万ユーロ
仮に売上が500億円の企業だった場合、4%の20億円と、2,000万ユーロ(=24億円)なので、この場合は24億円という高額を制裁金として支払う義務が生じます。
フランス – GOOGLE
大手検索サイトを保有するGoogleが、フランス当局にGDPR違反として制裁を受けました。
違反項目として、以下の2点が挙げられています。
- 情報の透明性の不足
- ユーザーの同意取得の無効性
①については、ユーザーの情報取得に関するドキュメントが分散しており、ユーザーがドキュメントの提供を受けるには5~6回ウェブサイトを閲覧する必要があった点、また、ドキュメント自体にも明確な文章は記載されておらず、ユーザーの理解を得るためには不十分なものであったとされています。
②については、ユーザーの情報取得の同意を得る際、Googleのサービス内においての個人データの利用方法の説明が十分に成されていなかった点や、そもそも同意のとり方自体に問題があったと指摘されています。
Googleは、この違反によって、約62億円の制裁金が課せられました。
イギリス - ブリティッシュ・エアウェイズ
イギリスの航空会社ブリティッシュ・エアウェイズ(以下、BA)も、GDPR違反として制裁金を課せられました。
オンラインで航空券を検索や予約を行った50万人の顧客データを流出、漏洩したというセキュリティの脆弱性が違反項目とされています。
GDPR対策としてWEBサイトの文章や個人データ取得の方法の見直しはもちろん必要ですが、そもそものセキュリティ部分を見直し、データを適切に管理、保護するといった事も、GDPRの遵守のためには重要といえます。
BAは、本件の制裁金として約246億円を課せられました。
日本 – プリンスホテル
日本でも、GDPR違反として指摘された例があります。
プリンスホテルでは、同社が運営する外国語ウェブサイトの予約システムのサーバーに不正アクセスを受け、顧客情報の漏洩が発生しました。漏洩した情報は氏名や住所、クレジットカード番号など約12万4,963件とされています。
焦点となるのはセキュリティの脆弱性と、それに加えて事件発生後の対応が適切であったかどうかという部分です。
今のところはプリンスホテルに制裁金が課せられるかは不明ですが、いずれにしても、日本の企業もGDPRは「対岸の火事」ではないため、いまいちど自社の個人データの管理法などを確認し、対策を行うべきかどうかを議論する必要があるといえるでしょう。
0コメント