EU一般データ保護規則 (GDPR)の2020年の執行状況-コロナの影響とは?既に1億1400万ユーロ以上の課徴金支払い命令
コロナ禍においてもGDPRは有効
EUの個人情報などの保護を目したGDPRが発効してほぼ2年が経とうとしています。
海外のサイトを閲覧する際、クッキーの扱いなど承認を求められるポップアップが増えたのではないでしょうか?これはGDPRの影響です。
GDPRが世に出てから、ブラジルのLFPDやカルフォルニア州のCCPAなどデータ保護の為の組織が立ち上がりました。GDPRは、EU関連の事項だけでなく、世界の各国で同様の法制度が確立されていくことが予想されます。
EUにて、今日までどのような動きがあったかといいますと、2020年初めにイギリスがEUを離脱しましたが、現状、GDPRを批准しており、これまで同様GDPRがイギリスでも執行されます。また、当局はBritish Airways、マリオットホテルグループ、Facebook、Whatsapp、グーグルを含む企業に対し、1億1400万ユーロ以上の課徴金を下しています(詳細は後述します)。
現状として、ギリシャ、ポルトガル、スロベニアはまだGDPRを基本とする国内法を制定していない状況です。つまり、これらの国ではGDPRは執行が難しいことを意味します。
コロナ禍において、多くの企業が業績不振に陥っている状態ですが、GDPRは有効に発効しています。例外なく適用されるという状況は変わっていません。
15年以上、ヨーロッパ進出支援をしています。最近では、欧州での不動産購入や企業買収の問い合わせが増えています。
今回は、質問を受けているコロナ禍がGDPRに与える影響と具体的施策について説明します。
コロナ禍=リモート増加
コロナ禍で、GDPRが重要になる項目は、リモートワークの増加でしょう。これまでの事務所を縮小又は閉鎖し、リモートワークへ移行する企業が急増しています。これまで事務所で一元管理していたデータのセキュリティ体制を見直す必要があります。
コロナ禍のGDPR具体的対策
具体的なステップは以下の四項目です。
- 在宅勤務を視野い入れた情報保護の指針を見直す
- 従業員に、それら情報保護の指針のトレーニング(オンラインセミナー)を徹底する
- データの送信・保存の段階で、暗号化をおこなう
- 重要データへのアクセスを最小限にし、会社のVPNを利用する
これはEU当局からの指針に基づきます。
EU一般データ保護規則 (General Data Protection Regulation)とは?
そもそも、GDPRとは何かについては以下を参照にして下さい。
2018年5月25日EU一般データ保護規則 (General Data Protection Regulation、通称GDPR)が発効しました。
この規則は、データ保護をEU全体で統一化し、個人情報・プライバシーの権利を強化し、不正利用に対し、強力な執行力と罰則を与えるために作られました。
個人情報をいかに広範囲に収集し、それをお金儲けにつなげるかがキーになってきた感があります。Facebookをはじめ世界を席巻するGAFAは、これらに長けているところが勝因といえるでしょう。個人情報意識の特に高い欧州では、どのように個人情報を守れるかの議論が長年行われていたのです。この議論が具現化したものがGDPRと言えるでしょう。
GDPRは誰に適用される?日本の企業にも適用される?
GDPRの適用範囲は極めて広範です。
日本にしか拠点がないから大丈夫?日本でしか商売してないから大丈夫と思われた方、実は御社も対象になっているかもしれません。
というのは、提供する製品やサービスがEU市場に向けられている、及び/又はEUに住んでいる個人情報を収集する場合、GDPRは、EU圏内にある企業だけでなく、日本にある企業にも適用されます。
例えば、御社が、欧州に拠点を持たずとも、ドイツなどEU諸国へ製品を供給していれば適用されます。
また、海外からの訪問が多いサイトを運営している場合(特に、予約時に個人情報を収集する日本の旅行サイト、宿泊施設など)など、欧州で事業はなくても欧州に住む人間の情報を集めた場合は、適用されるのです。
最近の課徴金の例
Facebookのケース
Facebookは何故莫大な課徴金をかされたのでしょうか?
理由は、ユーザのパスワードを暗号化せずに保管していたことです。そして、同社の2万人の従業員が簡単にそのパスワードにアクセスできていたことです。そして、もう一つは関連会社であるWhatsappとFacebookの間での情報交換についての不透明性です。
欧州で間違いなく最大のSNSはFacebookです。これだけの影響力を持つ企業が、個人情報をずさんに扱っていたことが問題でした。
課徴金として、2000万ユーロか売り上げの4%ですから、22億USドルに上る可能性があります。
British Airwaysのケース
英国航空が、2018年6月から9月の間で50万人の消費者の情報を流出させていたことから、2億3千USドルの課徴金を下されました。
マリオットホテルグループのケース
マリオットホテルグループは、2018年11月に報告された3億3千9百万件分の宿泊情報を紛失したことで、1億2千300万USドルの課徴金を下されました。
Eni Gas e Luceのケース
ここ最近では、イタリアの例でイタリア当局(ISA)は、電気・ガスの供給業者Eni Gas e Luce(EGL)に850万ユーロ及び300万ユーロの課徴金を課しています。
この案件はどのようなケースだったのでしょうか?
同社が違反とみなされたのは、2点ありました。
1)個人情報入力時に、消費者が「不要」とした営業電話をかけていたこと=>850万ユーロの課徴金
2)EGLが、消費者の知らないうちに、第三者から契約を獲得したこと(契約者(消費者)は契約相手の電力供給会社がEGLと知らされずに契約をさせられていました)=>300万ユーロの課徴金
GDPRでは、消費者の「確認をとり」、それに従って「実行する」ことが重要です。
GDPRを遵守するには以下の具体的アクションが必要です。
- 御社の個人情報指針を見直し、GDPRに沿ったものへ修正
- 御社の同意指針を見直し、GDPRに沿ったものへ修正し、そして、これまで収集した個人情報について、再度、同意を求める
- 社内で、データ保護について責任者又はデータ保護担当者(DPO, Data Protection Officer)を任命する
- 収集した個人情報について、アクセスし、修正し、削除できるようにする
- 個人情報について、偶発的、違法、権限のない削除、紛失、変更、開示がないようセキュリティレベルを構築
- データが流出した場合、担当の当局に、遅滞なく通知(可能であれば、当該流出について分かった72時間以内)
これらは、ほんの一例です。すべての会社に同じように適用されるわけではありません。
GDPR当局から、同規則への準拠の度合いを測るチェックリストが公表されています。
英語ですが、こちらからどうぞ。
また、EU圏外にある企業に対してもチェックリストがあります。US企業向けではありますが、こちらからどうぞ。
罰則は?2000万ユーロ?
GDPRを遵守に違反した場合の罰則はなんでしょうか?初めての違反や意図せず違反してしまった場合は、GDPRは、それほど厳しく処罰はしません。警告書やデータ保護の状態チェックの査察が入る程度です。
但し、何度も違反した場合や世界的企業の場合の罰則は深刻です。最悪の場合、違反した場合、2000万ユーロ以下又は全世界の4%のどちらか大きい方の課徴金となります。
すでに多くの企業に課徴金が課せられています。当局としては、課徴金の額が少ないのではないかという意見が強いようですので、これから、増額されることが予想されています。
2000万ユーロは25億円(2018年現在)ほどですので、ちょっとした会社が簡単に吹き飛ぶ金額です。
GDPR対応のご相談、EU圏市場進出のお問い合わせは
できるだけ具体的にご記述ください。また返答に時間がかかる場合や、返答できかねる場合もございますので、ご了承ください。
Write a comment