NTTコミュニケーションズ

Bizコンパス

対策しても罰金!施行から1年、GDPRの制裁ケースを学ぶ
2019.08.31

間違いやすいビジネスの“基準”第2回

対策しても罰金!施行から1年、GDPRの制裁ケースを学ぶ

著者 田中 靖子

 2018年5月にGDPR(EU一般データ保護規則)の施行が開始してから、1年が経ちました。日本情報経済社会推進協会と株式会社ITRが行った調査によると、33.3%の日本企業がいまだにGDPRに対応しておらず、依然としてGDPR対策は企業にとって重要な課題となっています。

 このような中、今年1月に、米国グーグルにGDPR違反の制裁金として5000万ユーロ(約60億円)が課されました。この金額は、GDPR違反の制裁として過去最大です。

 さらに7月には、イギリスの航空大手ブリティッシュ・エアウェイズも制裁金の対象であることが発表されました。イギリスの個人情報保護監督機関の公式発表によると、制裁金として1億8339万ポンド(約250億円)が検討されています。

 しかし、グーグルの場合は、個人情報利用の規約をサイト上に公開しており、あらかじめ利用者から同意を得る手続きを設けていました。このようなシステムにも関わらず、なぜ莫大な制裁金を課されたのでしょうか?

 さらにブリティッシュ・エアウェイズのケースでは、サイバー攻撃によって、同社が顧客情報を盗まれたことが制裁金の理由です。いわば「被害者」であるにも関わらず、なぜこのような厳しい制裁の対象となったのでしょうか?

 今回は、2つのケースを解説したうえで、日本企業がGDPR対策として気をつけるべき点について紹介します。

 

個人情報に配慮していたグーグルに制裁金が課された理由

 まずはグーグルの例から検証します。前述した通り、グーグルでは個人情報利用の規約をサイト上に公開し利用者から同意を得る手続きを設けていました。

 しかし、個人情報のルールについて説明したページの構造が難解すぎるという点が問題視されました。規約はサイト上に公開されていたものの、複数のページにわたって掲載されており、ページを移動するために利用者自身がクリックボタンを押さなければいけない等、利用者の努力が必要でした。

 このため、「全体のルールを把握する前に利用者が諦めてしまう」「利用者の目線で考えると、全てのルールを理解することは難しい」と批判されました。

 さらに、利用者から同意を得る際に、「どの範囲で」個人情報を利用するかを明らかにしていないという点でも指摘を受けました。

 グーグルが運営するサービスは、検索サイトだけでなく、YouTubeやグーグルマップなど多岐にわたります。どの個人情報をどのサービスに利用するのかについて明らかにしたうえで同意を得なければ、「正当に得られた同意とはいえない」と判断されてしまったのです。

 

セキュリティの脆弱さが事件の引き金となったブリティッシュ・エアウェイズ

 グーグルに続いて、イギリスの航空大手ブリティッシュ・エアウェイズにもGDPRのメスが入りました。

 2018年9月、ブリティッシュ・エアウェイズがサイバー攻撃を受け、顧客の個人情報が大量に盗まれました。ブリティッシュ・エアウェイズは、ハッカーから攻撃を受けた被害者であるものの、当社のセキュリティの脆弱さが事件を招いたとして、GDPR違反を指摘されました。

 GDPRでは、個人情報が流出した際に「72時間以内に通報すること」を義務付けています。ブリティッシュ・エアウェイズは2018年9月5日夜に被害を把握し、直ちに警察と個人情報保護当局に通報しました。6日夕方には、マスコミや証券取引所を通じて事件を公表し、被害を受けた顧客に謝罪しています。その後、EUの調査にも全面的に協力しています。

 このような「完璧な」事後対応にも関わらず、EU個人情報当局は1億8339万ポンドという容赦ない制裁金を検討しています。

このことから、EUが「個人情報は一度漏えいすると取り返しがつかない」点を重視していることが分かります。

 GDPR違反のセキュリティシステムによって個人情報が漏えいした場合には、いくら事後対応を万全にしても、厳正な制裁を免れることはできません。GDPRのリスクを回避するためには、事前の対策が不可欠です。

 

2つの事件から学ぶGDPR対策のポイント

 2つのケースから日本企業が学ぶべき点は、2つあります。

 第1に、個人情報に関するルールは、単にサイト上に公開すれば足りるわけではありません。分かりやすい見出しを付けたり、サイトの1カ所にまとめる等、利用者がアクセスしやすい工夫をこらすことが必要です。

 既にルールを公開している企業は、公開している文章を今一度見直してみても良いでしょう。個人情報の利用目的や保存期間、削除の手続きや第三者提供等のルールが複数のページにわたっている場合は、全て1箇所にまとめておくべきです。

 第2に、個人情報利用についてユーザーから同意を得る際には、個人情報を利用する「範囲」を明らかにすることが必要です。

 できる限り具体的に、「プロフィール欄に入力した性別や年齢、居住地等の個人情報は、広告表示処理として利用されることに同意します」等の表示をすることがポイントとなります。反対に、「個人情報を利用することに同意します」という抽象的な同意文では、無効となるおそれがあります。

 Cookie(クッキー)についても注意が必要です。日本の個人情報保護法はCookieを保護対象としていませんが、GDPRでは保護対象とされています。

 このため、GDPRのルールでは、Cookieを利用する際にあらかじめ同意を得ることが必要となります。しかし、「Cookieの使用に同意します」という曖昧な同意文ではリスクが残ります。例えば、「Cookieに含まれる購入履歴やサイト閲覧暦等の個人情報は、お勧め商品の表示やキャンペーンのお知らせ、自社内でのマーケティング分析に使用させていただくことがあります」というように、具体的に表示すべきです。

 

アジアにも捜査の手が迫っている

 GDPRの捜査のメスは、欧米にとどまりません。イギリスの個人情報保護監督機関は、ティックトック(TikTok)の運営企業である中国のバイトダンス(Bytedance)について、現在調査を進めています。

 GDPRの容赦ないメスは、アジア各国に及んでいます。巨額の制裁金を回避するためには、事後の対策だけでは不十分です。GDPR違反となる具体的ケースを想定したうえで、今一度セキュリティ対策を見直してみてはいかがでしょうか。

※掲載されている内容は、公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

田中 靖子

田中 靖子

法律家ライター

東京大学卒業後、2009年に司法試験に合格。弁護士として知的財産業務、会社設立等のビジネス関連の業務を扱う。現在は海外に在住し、法律関連の執筆や講演を行っている。

この記事が気に入ったらクリック!

お気に入り登録

関連キーワード

SHARE

関連記事

制裁金26億円!?EUの個人情報保護法にどう対応する?

2018.03.19

日本も例外じゃない!5月スタート「GDPR」とは何か前編

制裁金26億円!?EUの個人情報保護法にどう対応する?

企業に忍び寄る「反社」のビジネスリスク

2019.08.20

知っておきたい法改正のポイント第13回

企業に忍び寄る「反社」のビジネスリスク