Bizコンパス

対策しても罰金!施行から1年、GDPRの制裁ケースを学ぶ
2019.08.31

間違いやすいビジネスの“基準”第2回

対策しても罰金!施行から1年、GDPRの制裁ケースを学ぶ

著者 田中 靖子

 2018年5月にGDPR(EU一般データ保護規則)の施行が開始してから、1年が経ちました。日本情報経済社会推進協会と株式会社ITRが行った調査によると、33.3%の日本企業がいまだにGDPRに対応しておらず、依然としてGDPR対策は企業にとって重要な課題となっています。

 このような中、今年1月に、米国グーグルにGDPR違反の制裁金として5000万ユーロ(約60億円)が課されました。この金額は、GDPR違反の制裁として過去最大です。

 さらに7月には、イギリスの航空大手ブリティッシュ・エアウェイズも制裁金の対象であることが発表されました。イギリスの個人情報保護監督機関の公式発表によると、制裁金として1億8339万ポンド(約250億円)が検討されています。

 しかし、グーグルの場合は、個人情報利用の規約をサイト上に公開しており、あらかじめ利用者から同意を得る手続きを設けていました。このようなシステムにも関わらず、なぜ莫大な制裁金を課されたのでしょうか?

 さらにブリティッシュ・エアウェイズのケースでは、サイバー攻撃によって、同社が顧客情報を盗まれたことが制裁金の理由です。いわば「被害者」であるにも関わらず、なぜこのような厳しい制裁の対象となったのでしょうか?

 今回は、2つのケースを解説したうえで、日本企業がGDPR対策として気をつけるべき点について紹介します。

 

個人情報に配慮していたグーグルに制裁金が課された理由

 まずはグーグルの例から検証します。前述した通り、グーグルでは個人情報利用の規約をサイト上に公開し利用者から同意を得る手続きを設けていました。

 しかし、個人情報のルールについて説明したページの構造が難解すぎるという点が問題視されました。規約はサイト上に公開されていたものの、複数のページにわたって掲載されており、ページを移動するために利用者自身がクリックボタンを押さなければいけない等、利用者の努力が必要でした。

 このため、「全体のルールを把握する前に利用者が諦めてしまう」「利用者の目線で考えると、全てのルールを理解することは難しい」と批判されました。

 さらに、利用者から同意を得る際に、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

田中 靖子

田中 靖子

法律家ライター

東京大学卒業後、2009年に司法試験に合格。弁護士として知的財産業務、会社設立等のビジネス関連の業務を扱う。現在は海外に在住し、法律関連の執筆や講演を行っている。

関連キーワード

SHARE

あなたへのおすすめ

制裁金26億円!?EUの個人情報保護法にどう対応する?

2018.03.19

日本も例外じゃない!5月スタート「GDPR」とは何か前編

制裁金26億円!?EUの個人情報保護法にどう対応する?

企業に忍び寄る「反社」のビジネスリスク

2019.08.20

知っておきたい法改正のポイント第13回

企業に忍び寄る「反社」のビジネスリスク