全3005文字
PR
4/1朝まで
どなたでも有料記事が読み放題「無料開放デー」開催中!
インターネットイニシアティブ(IIJ)が2019年11月11日に都内で開催したシンポジウム「世界プライバシー保護法制の最前線」で、欧州連合(EU)の一般データ保護規則(GDPR)に詳しい、杉本・川島法律事務所の杉本武重弁護士、森・濱田松本法律事務所の岡田淳弁護士、IIJの小川晋平ビジネスリスクコンサルティング本部長らが講演した。その内容を基にGDPRの現状を紹介する。

 「今後GDPRの制裁金が高額になるのは間違いない」。杉本・川島法律事務所の杉本武重弁護士はシンポジウムの講演でこう警鐘を鳴らした。

 ニューヨークやブリュッセルを主な拠点としている杉本弁護士は2018年5月のGDPRの適用開始から2019年10月までにEU各国のデータ保護機関がGDPR違反で制裁金を公表した主な事例16件について概要を解説した。既に100億円超えの制裁金を科す事例が出ていることを指摘したうえで、これから制裁金がその金額をも上回るようになる可能性が高いとの見解を示した。

英国のデータ保護監督機関ICOが公表した制裁金額と、シンポジウム「世界プライバシー保護法制の最前線」の様子
英国のデータ保護監督機関ICOが公表した制裁金額と、シンポジウム「世界プライバシー保護法制の最前線」の様子
(出所:公表資料を基に日経 xTECH作成)
[画像のクリックで拡大表示]

英ブリティッシュ・エアウェイズに約257億円の制裁金

 これまでEUのデータ保護機関がGDPR違反で制裁金を科す方針を公表した案件のうち、最も高額になったのは2019年7月に英国のデータ保護監督機関のICO(The Information Commissioner’s Office)が発表した英ブリティッシュ・エアウェイズ(British Airways、BA)に対する1億8339万ポンド(約257億円)である。

 BAやICOの公表内容によると、BAは2018年6月に始まったと見られるサイバー攻撃によって、Webサイトやモバイルアプリから予約や変更を行った約50万人の顧客のデータが不正に収集されていた。ICOは「セキュリティー対策が不十分だった」と指摘している。

 BAは2018年9月にセキュリティーの被害があったとICOに速やかに報告し、ICOが調査に乗り出していた。ICOによると、顧客がBAのWebサイトにアクセスすると偽サイトに転送され、ログイン情報やクレジットカード番号、旅行予約の詳細、氏名や住所など様々な情報が被害に遭っていた。

 BAは制裁金のほかにもペナルティーを受けそうだ。英国高等法院(高等裁判所)は2019年10月、被害に遭ったBAの顧客が補償を求める集団訴訟の提起を認める決定を下した。報道によると原告側代理人は影響を受けた被害者が1人当たり1250ポンド(約17万5000円)の補償を請求できると主張している。仮に50万人が請求した場合、補償額は総額875億円に達する。ICOによる制裁金をはるかに上回る個人補償を求められる恐れがある。

 ICOは制裁金の最終決定を下す前に、BAがICOの調査結果や制裁措置について反論できるとしている。BAの親会社であるインターナショナル・エアラインズ・グループ(International Airlines Group)はICOの制裁金について「異議申し立てを含む適切な措置をすべて講じる」と表明した。

ホテルチェーン大手の米マリオットには約139億円

 ICOは2019年7月に、ホテルチェーン大手の米マリオット・インターナショナル(Marriott International)にもGDPR違反で約9920万ポンド(約139億円)の制裁金を科す方針を公表した。