News&Blog

【日本初GDPR制裁金】NTTデータ スペイン子会社6万4,000ユーロ(約940万円)の制裁金と世界での制裁事例を解説

近年、世界的に個人情報保護に関連する規制が強まっており、特に動向が注目されているのがGDPRとなります。

2022年11月にNTTデータのスペイン子会社であるEVERIS/NTT Data Spain(以下、EVERIS)がGDPRに違反したとして6万4000ユーロの罰金を課されたことが公表され、大きな話題となりました。

この記事では、日本初の制裁金事例およびその他企業の違反事例を通じて、GDPRに関連するリスクについて解説します。

【GDPR対応制裁金】日本企業初のGDPR摘発事例 NTTデータ社の制裁金6.4万ユーロと世界でのGDPRリスク・制裁金事例

GDPRとは

まず、GDPR(General Data Protection Regulation)とは、2018年5月25日に施行された、EUを含む欧州経済領域(EEA)域内※の個人データ保護を規定する法令です。

個人情報とプライバシー保護の強化を目的としています。GDPRは、EU域内で1995年から適用されていた「EUデータ保護指令」に代わるもので、デジタル化やグローバル化に伴う個人データの流通や利用の変化に対応するために制定されました。

GDPRは、EEA域内の個人の基本的な権利の保護という観点から、個人データを取り扱う事業者や組織に対して厳格な義務や責任を課しています。

※EEA:EU加盟国にノルウェー、アイスランド、リヒテンシュタインを加えた30カ国

GDPRにおける「個人データ」とは?

GDPRで定義された個人データとは、特定または特定可能な自然人(被データ主体)に関連するあらゆる情報を指しています。

個人データには、氏名や住所、電話番号、メールアドレスなどの基本的な情報だけでなく、IPアドレスやクッキーIDなどのオンライン識別子や位置情報も含まれています。

健康状態や宗教信条などのデータも対象となっており、これらは一般的な個人データよりも高いレベルの保護が必要です。

【GDPRで規定する個人データの例】

  • 住所
  • 氏名
  • 電話番号
  • メールアドレス
  • 従業員番号
  • IPアドレス
  • WEBサイトCookie情報
  • サービスに利用するID
  • クレジットカード番号
  • 身体的/遺伝的/経済的/文化的などの要素に対して固有性を示す情報
    など

GDPRが対象となる企業・団体の範囲

企業GDPRが適用されるのは、EEA域内に居住する市民の個人情報を扱う、個人事業主を含むすべての企業や団体となるため、EEA域外に拠点を持つEEA域内の市民の個人データを取り扱う場合は適用されます。

つまり、日本国内だけに拠点を持ちビジネスを行っていたとしても、EEA域内の市民向けに商品やサービスを提供する場合や、WEBサイトなどを通してEEA域内のユーザーの情報を取得する場合でも適用範囲となります。

そのほか、「現地に拠点がなくWEBサイトを通したビジネスを行っておらず代理店を通して営業活動を行っている」という企業でも顧客情報(メールアドレス、氏名など)を取得する場合は対象となるため注意が必要です。

具体的なGDPR違反リスクと制裁金

GDPR制裁金の上限額は

①最大1,000万ユーロ(約12億円)、または直前の会計年度における世界全体における売上総額のどちらか高い方

②最大2,000万ユーロ(約23億円)、または世界全体における売上総額の4%のいずれか高い方

となります。

実際にGDPR違反にはどのような場合適用されるのか、JETROが公開する「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」 に記載されているため下記に抜粋し記載します。

制裁金を科すかどうかやその額を決定する際には、プライバシー規制当局が様々な観点やプロセスを考慮します。例えば、違反が故意的か否か、被害者への通知や協力があったか否か、過去に同様の違反があったか否かなどです。

GDPR 違反制裁金事例

ここからは具体的にGDPRで罰金を課された

  • EVERIS(NTT Data Spain):6万4000ユーロ(約940万円)
  • Amazon:7億4600万ユーロ(約971億円)
  • Marriott International:9920万ポンド(約135億円)

の3つの企業の例を解説してきます。

日本企業初の制裁事例:EVERIS(NTT Data Spain)

これまで日本企業でGDPR違反となった企業はありませんでしたが、スペインの個人情報保護当局(AEPD)は、80,000 ユーロの罰金を課し、2022年8 月 24 日 に64,000 ユーロに減額する決定を議事録番号 PS/000401/2022 で発表しました。

制裁金が課された背景としては、同社が提供した情報システムを通じて取引先であるスペイン国営鉄道会社(RENFE)の顧客情報が漏洩した問題で、同社にも過失があったと判断されたためです。この漏洩事件は2021年5月に発覚し、約200万人分の個人データがダークウェブ上で販売されていることが明らかになっています。

EVERISの違反は大きく2つです

  • GDPR第5条(1)(f):処理するデータの完全性と機密性の原則
    • GDPR第5条(1)(f)では特定の個人データの処理に関する法的根拠であるを定めています。
    • EVERISは提供するシステムで取り扱うデータの保護に対しての必要最低限の技術的要件を満たしていなかったこと(脆弱性が存在していたこと)を指摘されています。
    • この違反に対して、5万ユーロの罰金が課されています。
  • GDPR 第 32 条:個人データ取扱いの安全性
    • GDPR第32条の目的は、個人データの機密性や完全性を守り、個人データの処理に関するリスクを最小限に抑えることです。
    • セキュリティポリシーやデータ保護手順の整備、セキュリティ技術の導入、定期的な監査・評価などを通じて、データの適切な保護を実現しなければなりませんが、AEPDはEVERISがセキュリティ侵害時に個人データの漏洩を防ぐための適切な組織的・技術的措置を講じていなかったとしています。
    • この違反行為に3万ユーロの罰金が課されました。

EVERISは合計8万ユーロの罰金について、2つの減額の方向性を示しました。

  • ①「EVERISに責任の所在を認める場合」
  • ②「自主的に罰金を支払った場合」

に適用されるものです。
①か②の1つだけを受け入れる場合は20%減額の6万4,000ユーロ。①、②の両方に対応した場合は40%減額の4万8,000ユーロとしています。

EVERISは②の減額のみに対応し、2022年8月24日に6万4,000ユーロの罰金を支払いました。

AEPDは2022年10月9日に決定書を公表。EVERISは責任の所在を明らかにしていないため①は適用されておらず、6万4,000ユーロの支払いにより訴訟手続きは終了しています。

制裁金はGDPRに定められた最高額(個人データ処理全体の売上高の4%または2000万ユーロ)に比べれば少額ですが、日系企業への処分を公表するのは初めてとなります。

・決議書:PS/000401/2022 ※スペイン語のドキュメントとなります。

・日経クロステック:NTTデータのスペイン子会社がGDPR違反、取引先による情報漏洩で制裁金

Amazon:7億4600万ユーロ(約971億円)

Amazonは顧客の個人データを不適切に処理したとして、ルクセンブルクのデータ保護当局からGDPR違反を指摘されました。具体的な違反内容は公表されていませんが、Amazonの広告活動に関連するものとみられています。

これによりAmazonはGDPR違反として7億4600万ユーロ(約971億円)の制裁金を科されました。この金額は、GDPR違反で科された制裁金としては過去最大規模です。

制裁金は2021年7月16日に決定されたもので、Amazonが2021年7月29日に開示した決算報告書で明らかになりました。

Amazon側は制裁金の決定に対して不服申し立てを行う予定であることを表明しており、「当局が示した事実や法的根拠に同意しない」、「データ侵害はなく、顧客データが第三者に漏洩したこともない」

と声明を出しています。

・日経新聞:欧州当局、Amazonに罰金970億円 GDPR違反で過去最大

Marriott International:9920万ポンド(約135億円)

英国のプライバシー監視機関である情報コミッショナー事務局(ICO)は2019年7月9日、ホテルグループのMarriott Internationalがハッカーにより予約システムから顧客データを4年にわたって盗まれる被害に遭っていたことに対して、9920万ポンド(約135億円)の制裁金を科すと発表しました。

ハッカーらは2014年にStarwood Hotelsのセキュリティシステムを侵害しており、Marriottが2016年にStarwoodを買収してから、セキュリティ侵害を発見してパッチを適用したのは2018年になってからとなっています。

この事件で3億3900万件の宿泊記録(このうち、EU加盟国の国民のものが3000万件、英国民のものが700万件)から個人データが流出していますが、Marriott Internationalの会長であるアルネ・ソレンソン氏は異議を申し立てをしていることをWEBサイトに掲示しています

・Marriott International|Marriott International Update on Starwood Reservation Database Security Incident

まとめ

まだ日本企業の制裁事例は少ないですが、海外展開の際には一定のリスクがあることをご理解いただけたかと思います。

弊社ではこれからEEAを含む地域に対して海外展開を始められる企業様向けに、WEBサイトを中心としたGDPR対応パッケージをご用意しています。また比較的安価に、GDPR対応の専門知識を持った弁護士事務所様のご紹介も可能ですので、ぜひお問い合わせください。

GDPR対応万全 多言語WEBサイトリニューアルパッケージ
LIFE PEPPER では、海外マーケティングに役立つ基礎知識やノウハウをまとめ、50種類以上のお役立ち資料を公開しています。

ご興味のある方は、以下リンクからダウンロードしてご活用ください。

⇒50種類以上の海外マーケティングに役立つお役立ち資料集
Category Category

海外全般・英語圏の関連記事