「今後GDPRの制裁金が高額になるのは間違いない」。杉本・川島法律事務所の杉本武重弁護士はシンポジウムの講演でこう警鐘を鳴らした。
ニューヨークやブリュッセルを主な拠点としている杉本弁護士は2018年5月のGDPRの適用開始から2019年10月までにEU各国のデータ保護機関がGDPR違反で制裁金を公表した主な事例16件について概要を解説した。既に100億円超えの制裁金を科す事例が出ていることを指摘したうえで、これから制裁金がその金額をも上回るようになる可能性が高いとの見解を示した。
英ブリティッシュ・エアウェイズに約257億円の制裁金
これまでEUのデータ保護機関がGDPR違反で制裁金を科す方針を公表した案件のうち、最も高額になったのは2019年7月に英国のデータ保護監督機関のICO(The Information Commissioner’s Office)が発表した英ブリティッシュ・エアウェイズ(British Airways、BA)に対する1億8339万ポンド(約257億円)である。
BAやICOの公表内容によると、BAは2018年6月に始まったと見られるサイバー攻撃によって、Webサイトやモバイルアプリから予約や変更を行った約50万人の顧客のデータが不正に収集されていた。ICOは「セキュリティー対策が不十分だった」と指摘している。
BAは2018年9月にセキュリティーの被害があったとICOに速やかに報告し、ICOが調査に乗り出していた。ICOによると、顧客がBAのWebサイトにアクセスすると偽サイトに転送され、ログイン情報やクレジットカード番号、旅行予約の詳細、氏名や住所など様々な情報が被害に遭っていた。
BAは制裁金のほかにもペナルティーを受けそうだ。英国高等法院(高等裁判所)は2019年10月、被害に遭ったBAの顧客が補償を求める集団訴訟の提起を認める決定を下した。報道によると原告側代理人は影響を受けた被害者が1人当たり1250ポンド(約17万5000円)の補償を請求できると主張している。仮に50万人が請求した場合、補償額は総額875億円に達する。ICOによる制裁金をはるかに上回る個人補償を求められる恐れがある。
ICOは制裁金の最終決定を下す前に、BAがICOの調査結果や制裁措置について反論できるとしている。BAの親会社であるインターナショナル・エアラインズ・グループ(International Airlines Group)はICOの制裁金について「異議申し立てを含む適切な措置をすべて講じる」と表明した。
ホテルチェーン大手の米マリオットには約139億円
ICOは2019年7月に、ホテルチェーン大手の米マリオット・インターナショナル(Marriott International)にもGDPR違反で約9920万ポンド(約139億円)の制裁金を科す方針を公表した。
