GDPR制裁金、前年比で39％増–さらに高額化する可能性も

今回は「GDPR制裁金、前年比で39％増–さらに高額化する可能性も」についてご紹介します。

関連ワード （ビッグデータ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　欧州連合（EU）が一般データ保護規則（GDPR）を施行してから2年半が経過した。当初はその運用は控えめだったが、最近では徐々に厳しく適用されるようになってきている。GDPRを守らない企業に対する制裁金の金額は大きくなる一方だ。

　欧州評議会が定めた「データ保護の日」が近づく中、法律事務所のDLA Piperのデータ保護チームが発表したレポートによれば、過去1年間でGDPRがらみで科された制裁金は総額で1億5850万ユーロ（約200億円）であり、それ以前の20カ月間に科された制裁金と比べて40％近くも増えているという。GDPRが施行されてから科された制裁金の合計額は、2億7250万ユーロ（約340億円）に達している。

　情報漏えいの報告件数も増加しており、過去12カ月間では1日平均331件の情報漏えいが報告されている（前年は278件）。2018年5月25日以降に報告された情報漏えいの件数は、合計で28万1000件になった。

　GDPR関連の動きは加速しているが、この制度はまだ多くの問題を抱えている。DLA Piperの英国データ保護・セキュリティグループのチェアであるRoss McKean氏は、米ZDNetの取材に対して、「GDPRはまだできたばかりだ」と述べ、「この文書にはまだ曖昧さや矛盾が多く残っており、執行に困難を伴うため、規制当局は慎重に対応している」と続けた。

　原則としてはGDPRの規則は統一されたもので、すべての加盟国で同じように適用されることになっているが、現実は違うようだ。国によって人的、財政的、技術的なリソースが異なるため、法律の運用に対するアプローチも異なっているのが現状だとみられている。

　そうした相違は数字にも表れている。ドイツではGDPRの施行以来、7万7747件の情報漏えい報告を受けているのに対して、イタリアでは同じ期間に3460件の報告しかない。数字の違いは文化の違いに関連している可能性もある。「GDPRは1つの法律ではなく、1つの規制が各国で異なる形で解釈されている」とMcKean氏は言う。

　これまでに注目を集めたGDPRの制裁金の例を見れば、新しいルールの運用には曖昧な部分が残っていることが分かる。例えば英国では、GDPR違反で科せられた制裁金の金額が4番目と5番目に大きい事例が起きているが、どちらのケースも、不服を申し立てた結果、実際に科せられた金額は当初の額から大幅に減額されている。

　2020年には、数十万件の顧客の個人情報がハッカーに盗まれた問題でBritish Airwaysに2000万ポンド（約27億円）の制裁金が科せられたが、コロナ禍の影響もあって、金額は当初の1億8340万ポンドに比べ90％減額されたものになった。同じ理由で、3億3900万人の宿泊客の情報が盗まれたホテルチェーンMarriotに対する制裁金も、当初の金額の約20％である1840万ポンド（約25億円）に減額されている。

　これまでにGDPRに基づいて科された最大規模の制裁金は、フランスのデータ保護当局「情報処理と自由に関する国家委員会」（CNIL）が2019年に科したもので、Googleの透明性に関するルールの違反に対して、5000万ユーロ（約62億円）の制裁金が科された。