「世界で最も厳しい」とされる個人情報保護の法規制「一般データ保護規則(GDPR)」が、2018年5月にEU(欧州連合)加盟国を含むEEA(欧州経済地域)で施行されてから4年半あまり。同規制は個人が自己データの削除を求めることができる「忘れられる権利(削除権)」で知られ、米国の巨大テック企業の不備を追及する欧州各国の当局の動きがしばしば注目されてきた。実際に2021年ごろから、米グーグルや米メタ(旧フェイスブック)、米アマゾン・ドット・コムなどに巨額の制裁金を科す例が相次いでいる。
GDPRはEEA域内に顧客がいるすべての企業が適用対象になり得る。日本企業も例外ではなく、摘発の対象となるリスクがある。それを象徴するのがNTTデータのスペイン子会社「NTTデータスペイン(旧エヴェリス)」のケースだ。
事の発端は、NTTデータスペインの顧客である保険会社が2021年8月に起こした顧客情報の漏洩問題である。スペインのデータ保護庁(AEPD)が約1年かけて調査した結果、保険会社に顧客管理システムを提供していたNTTデータスペイン側にも過失があったと判断。2022年8月に制裁金の支払いを命じた。同月、NTTデータスペインは6万4000ユーロ(約900万円)の制裁金を支払った。親会社のNTTデータは今後の対策について「同様の事象を起こさないよう、グループでセキュリティー対策の徹底を図っていく」としている。
国内外のデータ保護規制に詳しい杉本武重弁護士は、日本企業のGDPR対応状況について「4年半前に一通りの対応を済ませたものの、その後アップデートしていない企業が少なくない。一方で最低限の対策さえ講じていない企業もまだまだ残っている」と指摘する。
GDPR違反は日本企業にとって対岸の火事ではなく、対応の遅れは命取りになりかねない――。GDPRの施行当初から指摘されてきた問題がいよいよ現実化しつつある。
スペイン当局が指摘した2つのGDPR違反
NTTデータスペインが処分を受けたGDPR違反とはどのようなものだったのか。スペインのデータ保護庁が2022年10月に公開した文書によれば、違反内容は2つある。
1つ目は個人データの取り扱いに関する基本原則を定めた第5条に関するものだ。具体的には個人データの「完全性及び機密性」に関する第1(f)項に違反したとして、5万ユーロの罰金を科した。
情報セキュリティーの世界では一般に情報を正確かつ完全に保つことを完全性という。改ざんを未然に防止するとともに、改ざんの有無をチェックできるようにする必要がある。
機密性とはアクセス権を管理して許可された者だけに情報を開示し、権限がない者のアクセスを防ぐといったことだ。こうした要件について、スペインのデータ保護庁は「最低限の技術的措置を実施していなかった」などと断じた。
