GDPRの個人情報保護違反に対する制裁金がまだまだ本気じゃないらしい件

(写真:REX/アフロ)

 EUが定める一般データ保護規則(通称:GDPR)では、企業などが個人情報保護で過失を犯した場合、制裁金が課せられることになっています。2018年5月の施行以来EUでは違反がないか常に監視の目が光っているようですが、今年の1月の時点ですでに9万5,000件を超える違反指摘があったと報じられています。

Google以外も違反か、GDPRの違反指摘が9万5000超え(マイナビニュース 19/1/30)

 こうして発覚した案件の中には当然ながら悪質であるということから実際に制裁金が課された事例もあり、今年、Googleは日本円にして62億円相当の5000万ユーロを求められることになりました。

グーグル、GDPR違反で制裁金62億円--仏当局(CNET Japan 19/1/22)

 ちなみに違反企業に課される制裁金額の目安は、軽度の違反の場合で1,000万ユーロまたは前年売上高の2%のうちより大きな金額、より悪質な違反の場合には2,000万ユーロまたは前年売上高の4%のいずれかでより大きい金額とされています。Googleの2018年度の売上は約15兆円という数字が報告されているので、約62億円という制裁金はざっとで計算して年間売上の約0.04%に該当するという感じでしょうか。

 示されている金額と実際に課せられた制裁金の金額とに随分乖離があるような気がしますが、その金額以下の制裁だよという意味なんですかね。

Google、2018年は約15兆円の売上:視覚障碍者向けアプリ提供「全ての人々が情報にアクセスへ」(ヤフーニュース個人 佐藤仁 19/2/9)

 さすがにGoogleほどになると62億円という数字でも総売上から比べれば端金レベルになってしまうのには驚くわけですが、GDPR制裁金の基準に当てはめると比較的軽度な違反であったという判断になります。確かに、Googleもそこまでの悪意があるようには見受けられませんが、このあたりなんとも不思議な感覚になります。

 いずれにしてもこれまでGDPR違反で提示された制裁金の上限はこのGoogleの62億円という数字だったわけですが、遂にそれを上回る事案が出てきました。

英航空大手British AirwaysにGDPR違反で罰金約250億円の可能性--2018年に個人情報流出(ZDNet Japan 19/7/9)

ICOは、2018年5月に施行された欧州連合(EU)のデータ保護法である一般データ保護規則(GDPR)の下で罰金を科す意向を明らかにした。提示された罰金は、これまでにGDPRの下で新制度に基づいて出された処分では最大規模となる可能性がある。

出典:ZDNet Japan

 興味深いのはこの日本円に換算して約250億円に相当する制裁金がBritish Airwaysの2018年度の総売上高の1.5%にあたるという点です。

顧客50万人の情報流出でブリティッシュ・エアウェイズに250億円の罰金(TechCrunch Japan 19/7/9)

2018年12月31日までの1年間のBAの総売上高の1.5%

出典:TechCrunch Japan

 なんとこれだけ巨額になってもGDPRで定める最も高額な制裁金の算出基準である「前年売上高の4%」には至っていないということでして、つまりGDPRはまだまだ緩い感じで運用されており、今後はさらに高い制裁金が課される事例の出てくる可能性もあるということでしょう。当然、日本企業もGDPR違反の対象となり得ますし、下手をすれば歴代最高額の制裁金を課されるというありがたくない記録を達成することもありえるので要注意であります。

 なお、GDPRではなくEUにおける独禁法違反ということであれば、Googleはさらにとてつもない額の制裁金支払いを命じられていますので、巨大プラットフォーマーにとってみればGDPR違反などで制裁金を支払う程度では痛くもかゆくもないことなのかもしれません…。

EU、Googleに15億ユーロ(約1900億円)の制裁金 検索広告で競争法違反(ITmedia 19/3/21)

 一方で、なぜか日本経済新聞社社会部の記者寺岡篤志さんが日経ビジネス発で突然不思議な連載を始めました。

フェイスブックと日本交通の不都合な真実(日本経済新聞 寺岡篤志 19/7/8)

位置情報を渡したのは日本交通系アプリ

 では、このパチンコ企業にいったい誰が記者の位置情報を渡したのか。パチンコ企業の回答はこうだ。「(記者の位置情報を販売した)アプリの開発会社の多くは、当社も社名を把握していません。ただ、1つだけ社名を開示できるアプリがあります。JapanTaxiが提供する配車アプリ『全国タクシー(現JapanTaxi)』です」

JapanTaxiは、交通業界のIT化のリーダー的存在である日本交通の傘下企業。今度は日本交通に問い合わせたところ、広告配信会社のフリークアウト(東京・港)を通じて位置情報を外部に販売していることが判明。しかし、「全国タクシーのデータを利用している企業が具体的にどこなのかは分からない」との回答だった。

出典:フェイスブックと日本交通の不都合な真実(日経ビジネス)

 この記者さん、個人に関する情報が第三者提供の果てにIDとして匿名化処理されて広告配信されているアドテク上の問題と、プラットフォーム事業者が個人に関する情報を確保している事案とがごっちゃになっていて、いったい何を問題視しようとしているのかさっぱり分かりません。これらのIDで処理されて広告で配信されること自体はGDPR上も適法であるだけでなく、プラットフォーム事業者が全情報を開示させる個人に特定するに足る情報を提示させるのは適法なので、おそらく問題意識をもってこれらの個人情報の取り扱いについて報じる側にも混乱があるのではないかと思います。

1000件以上の「Android」アプリが無許可でデータ収集--ICSI調査(CNET Japan 19/7/9)

 つまりは、勝手に情報収集されて匿名化処理をしたうえで売られている、という話ですから、プラットフォーム事業者とGDPRの一件はもう少し調査報道の方法について吟味していただければと思う次第です。この辺がうまく報道として成立し始めれば、日本でもGDPR並みの適切な歯止めがかけられるようになるのかもしれませんが。