NTTデータの海外子会社がGDPR違反で2022年8月に制裁金を科された。情報システムの提供先が起こした情報漏洩で責任の一端を問われた。多くの企業にとって対岸の火事ではなく、再点検と対策強化が求められる。
「世界で最も厳しい」とされる個人情報保護の法規制「一般データ保護規則(GDPR)」が、2018年5月にEU(欧州連合)加盟国を含むEEA(欧州経済地域)で施行されてから4年半あまり。同規制は個人が自己データの削除を求めることができる「忘れられる権利(削除権)」で知られ、米国の巨大テック企業の不備を追及する欧州各国の当局の動きがしばしば注目されてきた。実際に2021年ごろから、米グーグルや米メタ(旧フェイスブック)、米アマゾン・ドット・コムなどに巨額の制裁金を科す例が相次いでいる。
GDPRはEEA域内に顧客がいるすべての企業が適用対象になり得る。日本企業も例外ではなく、摘発の対象となるリスクがある。それを象徴するのがNTTデータのスペイン子会社「NTTデータスペイン(旧エヴェリス)」のケースだ。
6万4000ユーロの制裁金
事の発端は、NTTデータスペインの顧客である保険会社が2021年8月に起こした顧客情報の漏洩問題である。スペインのデータ保護庁(AEPD)が約1年かけて調査した結果、保険会社に顧客管理システムを提供していたNTTデータスペイン側にも過失があったと判断。2022年8月に制裁金の支払いを命じた。同月、NTTデータスペインは6万4000ユーロ(約900万円)の制裁金を支払った。親会社のNTTデータは今後の対策について「同様の事象を起こさないよう、グループでセキュリティー対策の徹底を図っていく」としている。
国内外のデータ保護規制に詳しい杉本武重弁護士は、日本企業のGDPR対応状況について「4年半前に一通りの対応を済ませたものの、その後アップデートしていない企業が少なくない。一方で最低限の対策さえ講じていない企業もまだまだ残っている」と指摘する。
GDPR違反は日本企業にとって対岸の火事ではなく、対応の遅れは命取りになりかねない──。GDPRの施行当初から指摘されてきた問題がいよいよ現実化しつつある。
