2018年に施行された欧州一般データ保護規則(GDPR)を機に各国の個人情報保護法は厳格化の傾向にあります。図表1に示す通り、各国で個人情報保護に関する法案が策定され、続々と施行されています。各国で施行されたもしくは施行予定の法令はGDPRを参考に、個人のプライバシー保護の観点が強化されていると考えられます。
これら各国で施行されている個人情報保護法や、個人情報の取り扱いに関する考え方は、国や文化によって異なるため、上記の国で既にビジネスを行っている、または新たにビジネスを行うことを考えている企業は、これらの個人情報保護法の内容を理解し、適切に個人情報を取り扱う必要があります。
該当国の個人情報保護法への対応を適切に行っていない場合、想定していなかった制裁を受けてしまう可能性が考えられます。
本記事では、ドイツ・英国・シンガポールにおける個人情報保護法違反による制裁事例を取り上げ、これら制裁事例に対し、対象となった個人情報保護法の特徴を踏まえたうえで、組織として求められる対策について考察します。
制裁事例Ⅰ:【ドイツ】従業員監視に関するGDPR違反
経緯
2021年、ドイツのある企業が、法的根拠なしに過去2年間従業員を常にビデオ監視下に置いていたとして、同国のデータ保護機関は同社に対して執行措置を行いました。
ビデオ監視システムは常に作動しており、録画は会社のデータベースに最大60日間保存されていました。同社は、“ドイツ全土および世界中の他の多くの企業で見られるように、平凡なビデオ監視ソリューションを実行している”と考えていましたが、BfDI(ドイツ連邦共和国データ保護機関)は、それがドイツの労働者の権利に対する重大な侵害であると判断しました。
BfDIは「ビデオ監視は犯罪を防止するための抑止力として使用されるべきではなく、雇用主が特定の従業員に対して正当な疑いを持っている場合にのみ使用されるべきである」と主張し、同社に対し罰金1,040万ユーロ(約14億円)を科しました。
GDPRでは監視カメラの使用が禁止されていませんが、下記①~⑤の対策が必要であると言われています。
- ①完全な透明性をもって運用すること 【第5条1(a)】
- ②データ収集を最小限に抑えること 【第5条1(c)】
- ③職務を遂行するためにアクセスが必要な人のみがデータにアクセスできるようにすること 【第5条1(f)】
- ④データ主体からアクセス要求があった場合に対応すること 【第15条1】
- ⑤公衆がアクセス可能な場所のシステム監視を新たに大規模に行う場合に、個人データ保護に対する影響評価を行うこと 【第35条1,3(c)】
出典:5 Step Guide to Check if Your CCTV is GDPR Compliant
https://www.zdnet.com/article/gdpr-german-laptop-retailer-fined-eur10-4m-for-video-monitoring-employees/
https://www.tessian.com/blog/biggest-gdpr-fines-2020/
提言
上記はドイツにおけるGDPR違反の制裁事例です。
本事例では「会社の従業員に対する監視」が労働者の権利を侵害すると判断され、制裁金が科されました。
GDPRでは、個人情報に対する定義が広く、自身が認識していない情報が個人情報として判断されてしまうケースが考えられます。
また、昨今の働き方の変化から、従業員の働き方が見えづらく、従業員に対してモニタリングを実施するケースは少なくないと考えられます。
そのため、上記事例のように個人の監視を行う場合、得られる情報によっては、個人情報を収集しているとみなされ、保護法で定められた対策を実施していない場合、制裁金が科される可能性が考えられます。
組織内で従業員の監視を実施している企業の方は、国内外における個人情報保護法を参照し、必要な対策が実施されていることを確認しておきましょう。
制裁事例Ⅱ:【シンガポール】情報流出によるPDPA違反
経緯
2018年、シンガポールのある医療機関グループA社の電子カルテデータベースから約150万人の患者の個人情報がアクセス・コピーされ、海外サーバーに流出しました。流出したデータには、患者の氏名、国民登録番号、住所、性別、人種、生年月日などが含まれていました。
当インシデントは、PDPA条文の「不正なアクセス、収集、使用、開示、複写、改ざん、処分及び類似のリスクを防止するための適切なセキュリティ上の用意を行う。(第24条)」に違反し、個⼈データを保護できなかったとして執行措置が実施されました。
また、PDPC(シンガポール個人データ保護委員会)は、 以下を指摘しました。
- ・A社CISOのセキュリティに関する知見が浅く、適切にCISOとしての役割を果たすことができなかったこと
- ・A社のデータベースへのアクセスを仲介する仕組みを提供していたB社の技術的対策が不十分であったこと(下記①~⑤)
- ①容易に推測できるパスワード
- ②平文で保存されたパスワード
- ③無効化されていない休眠状態の管理者アカウント
- ④サーバーとデータベース間の平文通信
- ⑤不十分な監査
加えて、 PDPCは、 B社が「B社のスタッフが報告方針を十分に理解するための適切な取り組み」を行っていなかったことも明らかにしました。 (「インシデント発生の恐れがあるときもエスカレーションする」ということが実施されていなかった。)
PDPCは、この情報漏えいの重大性を鑑み、A社に対して25万シンガポールドル(約2000万円)、B社に対して75万シンガポールドル(約6500万円)の制裁金を科しました。
提言
上記はシンガポールにおけるPDPA違反の制裁事例です。
本事例の着目すべき点としては、
- ・CISOのセキュリティに関する知見の低さによるA社への制裁
・個人情報を保有しない、委託先であるB社に対する制裁金額の大きさ
であると言えます。
日本国内ではCISOのセキュリティにする知見の低さを理由に制裁が科されるケースはありませんが、今回のように異なる個人情報保護法の下では、担当者に適切な知見がないことが原因で制裁が科される可能性があると考えられます。
また、本事例における制裁金は、実際に個人情報を保有していたA社に比べ、委託先であるB社の方が多く課されています。
これは、B社の技術的対策が不十分だったことに加え、従業員の適切な教育がされていない、という事実を基に判断された結果であるといえるでしょう。
本事例はPDPAによる制裁事例ですが、日本国内の企業においても、何らかの形でPDPAに関わる場合、上記の原因により制裁が科されてしまう可能性があります。
今一度CISOの役割に求められる知識と行動や、従業員のセキュリティ教育について見直す等の対策を実施しておくことが重要です。
制裁事例Ⅲ:【英国】顧客情報流出によるGDPR違反
経緯
2018年、英国のある航空会社は、自社Webサイトに対して、サードパーティーのプラグインの脆弱性をついたマルウェアによる攻撃を受けました。これにより、Webサイトを使用した約40万人以上の顧客情報(名前や住所、支払いカード情報など) が流出しました。
ICO(英国の情報コミッショナー事務局)は、当インシデントはGDPR条文の下記の項目に違反したと結論づけました。
出典:ico:PELALTY NOTICE第5条1(f) :「無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)」
第32条:「リスクに適切に対応する一定のレベルの安全性を確保するために、適切な技術上及び組織上の措置をしかるべく実装する。」
ICOは当初、同社に対し1億8400万ポンド(約252億円)の制裁金を科す方針を示しましたが、最終的に減額し、制裁金は2000万ポンド(約27億円)となりました。
制裁金が減額された理由としては、下記①~③の内容が関係していると言われています。
- ①ICOが調査した結果、「同社の責任は当初想定よりも小さい」と認定したこと
- ②ICOが同社の当インシデントへの対応(迅速な通知、調査への協力)を評価したこと
- ③新型コロナウイルスが同社の事業に与えた影響を反映したこと
また、当インシデントを受けて、2020年に個人情報流出に起因する苦痛および金銭的損失に対する補償を求め、16,000人の請求権者が同社に対し集団訴訟を起こしました。
和解金額は明らかにされていませんが、1人あたり最大2,000ポンド(約32万円)が支払われるとみられています。
出典:simmons simmons:British Airways flying high as data-breach compensation claim settles
提言
上記は、GDPRによって当初示された制裁金が、その後インシデント発生後の対応が考慮され、減額された制裁事例です。この制裁事例から、法律が求める個人情報の漏えいを未然に防止するセキュリティ対策を実装することに加え、インシデント発生時に迅速な対応が行えるような態勢を確立しておくことが重要であることがわかります。緊急連絡先やインシデント対応マニュアルを予め用意しておくと共にそれが最新であるか確認し、また、インシデント対応訓練を定期的に実施して、有事の際に関係者が迅速に行動できるか確認しておきましょう。
おわりに
本記事では、海外企業における個人情報保護法に違反した制裁事例を取り上げ、その詳細と重視するべき点について解説しました。
海外の個人情報を取り扱うことがある日本企業においても、日本だけでなく、その国の個人情報保護法を確認して、必要な準備を整えておくことが重要であることがお分かりいただけたかと思います。
全ての個人情報保護法に関するインシデントに対して制裁金が科されるわけではありませんが、定期的に個人情報に関する違反事例を収集し、組織のセキュリティ対策を向上させることで、インシデント自体を予防することにつながります。
本記事を参考に、個人情報保護法への対策を見直すきっかけとなれば幸いです。
※文中に記した日本円については、それぞれ当時の為替レートで換算したものです。
