【経済】GDPRの衝撃：フランスの規制当局、米グーグルに約62億円の制裁金

フランスの規制当局は1月21日、GDPRに違反しているとして、米グーグルに約62億円の制裁金を科すと発表している。GDPRとは、EUが2016年に制定したプライバシー保護の法律であり、2年間の周知期間を経て2018年5月25日に施行された。欧州に拠点のない企業などに対しても、制裁金を科すなど厳しい規則が適用される。グーグルは今回、広告に利用するための個人情報について、使用方法等について顧客に分かり難い状況にしていることなどが問題視された。

過去IT大手においては、利用者数で6億人弱と世界最大規模のビジネス特化型SNSであるLinkedInがGDPRに違反し、1,800万メールアドレスを不正入手などと誤りが報じられたこともあった。報じられた内容について具体的には「1,800万人分のメールアドレスを不正に入手したという。GDPRが施行された2018年5月25日以前のデータを全て消去し、アイルランドで実施していたデータ処理を米国に移管したとされる。5月末時点でGDPRに権限がなく、罰金が課されることはないものの、現状であれば大きな問題に発展する可能性があったと言える」という趣旨になる。

ただ、真相は以下の通りであった。
1.アイルランドの監督当局（DPC）に対して、Linkedinの個人データ処理に関する苦情の申立が発生。
2.Linkedinは苦情を引き起こすこととなった処理を停止するために、いくつかの取り組みを実施（そのうちの一つとして、GDPR施行前の個人データ削除も実施）。
3.Linkedinが技術的および組織的対応（GDPRガイドブック内ではTOM’sと表記）を講じていることを検証するため、監督当局が監査を実施。
4.Linkedinは自発的に行動し、誠意ある対応を示したことで、制裁金などの罰則は受けていない。

アイルランドの監督当局においては、疑わしき行動を見つけて即罰金という話しでなく、通常の行政的な対応と同様にまずは「指導」が行われ、それでも悪質であると判断された場合には制裁金の対象になる可能性を読み取れる。欧州の全ての監督当局がこうでない可能性はあるものの、悪質性の有無、技術的および組織的対応が重要なポイントとなる。

なお、個人情報が適切に取り扱われていない場合、最大で全世界での年間売上高の4％もしくは2000万ユーロ(約25億円)のいずれか高い方が、制裁金として科せられる恐れがある（何も対処していなくてデータ侵害を起こした場合は、制裁金の上限が年間売上高の4％となるが、対処していたにも関わらずデータ侵害を起こした場合には、制裁金の上限が同2％となる場合もあると考えられている）。これから企業価値を高めていくには、プライバシー保護、サイバーセキュリティ対策が絶対不可欠となってくる。

GDPRガイドブックの一部から、その概要を紹介したい。

■GDPRの施行によって何が変わるのか？
世界中のプライバシーに関する規制の先駆けとなったEUデータ保護指令について、今一度振り返ってみよう。
本章の冒頭でも述べた通り、EUデータ保護指令は「Directive（指令）」であるため、原則として国内での関連法を整備する必要がありますよ、という意味合いのものであった。
「指令」をもとに、1998年までにEU加盟国では国内の法制度を整備することが要求された。そして、「指令」自体には法的拘束力がないため、法の執行については各加盟国に委ねられている。
このことでデータ保護法は加盟国毎に異なり、「31」のデータ保護法が存在している。指令を国内法に導入する際の対応にはある程度の柔軟性が許容されたため、法制度は国ごとに大きく異なっている。
そこで、加盟各国のデータ保護機関代表と欧州委員会司法総局データ保護課代表、欧州データ保護監察機関代表らによって構成される「第29条作業部会」が設けられ、加盟国のデータ保護法に調和をもたらすために、特定の問題に関して共通の解釈と分析を提供することに取り組んできた。
それでは、2018年5月25日以降、何が変わるのか？
まず、EUデータ保護指令は2018年5月24日をもって廃止とされ、加盟国ではGDPRに統一される。
ただし、ジャーナリズム・研究等の範疇については加盟国が各国でのデータ保護法を立法することができるとされている。
また、加盟国の調和を増大させることにも重きを置かれており、第29条作業部会は「欧州データ保護会議（EDPB）」へと改組される。
適用対象範囲は明確にされ、EU域内に拠点を持たない企業も対象となる。
これまでは各加盟国に委ねられていた執行と制裁を増大し、法的拘束力のある規則となる。莫大な金額の制裁金制度が導入されることは今回の大きなポイントだ。
企業に対しては、データ保護指令にはなかった概念である「説明責任」を導入し、記録保持義務が強化され、データ保護責任者を任命しなくてはならない場合もある。
また、個人データの移転に係る要求事項や個人の権利侵害に係る通知義務などが具体化されている。
そして、本人の同意について立証できなくてはならない。
個人に対しては、これまでの権利を一層強化する。
忘れられる権利やデータ・ポータビリティに関する権利、ダイレクトマーケティングの拒否権、プロファイリングによる判断を受けない権利の明確化。16歳未満の個人データの取り扱い制限などが導入されている。
そして、技術の発展を反映して法の範囲を定める定義のいくつかも変更されている。
例えば、IPアドレスなどのオンライン識別子などの情報も個人情報になる可能性があることを明らかにしている。
また、仮名化もしくは匿名化された個人情報については、GDPRの範囲内に収まる可能性もあるとされている。いわゆるビッグデータへの適用に関係してくる。
また、GDPRには加盟国の国内法での拡張や定義が可能な50～60（カウントの仕方によって異なる）の「開放条項」が存在するため、加盟国ごとに別途条項を設けることができる。
開放条項が規則としてはあまりに多く、むしろ指令に近いという側面もあるため、目的であった統一が実現されていないのではとの見解を示す考えもある。


■著者
足立照嘉 (Teruyoshi Adachi)
サイバーセキュリティ専門家
欧州および北米を拠点に活躍し、2018年現在で30カ国以上でサイバーセキュリティ事業を展開。
主に航空宇宙産業のサイバーセキュリティに取り組んでおり、日本を代表する企業経営層からの信頼も厚い。

ヘルマン・グンプ(Dr.Hermann Gumpp)
データ保護専門家
ミュンヘン(ドイツ)を拠点に欧州で活躍し、ミュンヘン大学(LMU)や日系企業などのアドバイザーも務める。
東京の国立情報学研究所(NII)での研究開発経験もあり、日独産業協会(DJW)ITワーキンググループの中心人物である。


■協力
浅田 稔
（大阪大学大学院工学研究科 教授）
安藤類央
（国立情報学研究所 サイバーセキュリティ研究開発センター 特任准教授）
Dr．Jamie Saunders
（元・英国国家犯罪対策庁 国家サイバー犯罪局長・機密情報局長）
中川博貴
（株式会社フィスコIR 取締役COO・フィスコファイナンシャルレビュー編集長）
八子知礼
（株式会社ウフル 専務執行役員・IoTイノベーションセンター所長）
松田章良
（岩田合同法律事務所 弁護士）

《HH》

　提供：フィスコ