GDPR制裁金の構造とこれまでのGDPR制裁金最大額

一般データ保護規則（GDPR）は、データ保護とプライバシーを扱うために欧州連合が2018年に制定した法律です。この規制は、企業の所在地に関係なく、欧州連合に居住する個人の個人データを処理・保有するすべての企業に影響を及ぼします。GDPRの重要な側面は、企業が規制を遵守しなかった場合に課される高額な罰金です。サイバーセキュリティにおけるAIの影響については、こちらのブログをご覧ください。

GDPR罰金の仕組み

罰金の上限

GDPRは罰金の上限を定めており、その額はかなり大きいです。上限は違反の階層によって異なります。下位階層では、罰金の上限は1,000万ユーロまたは前会計年度の全世界の年間売上高の2％のいずれか高い方となります。

上級の場合、罰金の上限は2,000万ユーロまたは前会計年度の全世界の年間売上高の4％のいずれか高い方に達します。こうした多額の罰金は、EUがデータ保護とプライバシーに真剣に取り組んでいることを裏付けるものです。

注意すべきは、これらは最高限度額であるということです。実際の罰金は、それぞれのケースの具体的な状況によって異なります。したがって、すべての侵害が数百万ユーロの罰金につながるわけではありません。しかし、このような高額の罰金が科される可能性があることは、GDPRを遵守することの重要性を明確に示しています。

二段ファインシステム

GDPRが2つの階層をどのように定義しているかを以下に示します：

• 下位の違反そのほとんどは、処理活動を適切に文書化していない、必要な影響評価を実施していない、必要な場合にデータ保護責任者を指名していないなど、GDPRの技術的側面に関するものです。
• 上位階層の侵害とは、GDPRの基本原則に違反する行為であり、十分な法的根拠なく個人データを処理すること、データ主体の権利を侵害すること、GDPRに違反して個人データを第三国または国際機関に移転することなどが含まれます。

この2段階制は、違反の重大性に応じた罰金を保証するもので、軽微な技術的違反が過大な罰金につながることを防ぎます。

GDPRの罰金と違反の判断基準

1.侵害の性質、重大性、および期間

侵害の性質、重大性、期間は、罰金を決定する上で重要な役割を果たします。例えば、重大な損害につながらない軽微な違反であれば、何千人ものユーザーの機密個人データが流出するような大規模なデータ侵害に比べ、罰金額が低く抑えられる可能性があります。同様に、侵害の期間も重要です。1回限りの違反と、定期的または持続的な違反とでは、扱いが異なる可能性があります。

さらに、違反によって影響を受けた人の数や、彼らが被った損害の程度も考慮されます。侵害が個人情報の盗難や金銭的損失のような深刻な損害につながった場合、課されるGDPRの罰金は高額になる可能性があります。一方、侵害が最小限の被害にとどまった場合、罰金はそれほど重くならない可能性があります。

2.侵害の故意または過失の性質

GDPRの罰金を決定する際に考慮されるもう一つの重要な点は、違反が故意によるものか過失によるものかという点です。企業が故意にGDPR規則に違反した場合、罰金は高くなる可能性が高いです。一方、違反が過失によるものであった場合、特に企業がそのような事態の発生を防ぐためにあらゆる合理的な手段を講じたことを証明できれば、罰金は低くなる可能性があります。

GDPR施行のこの側面は、組織がその責任を十分に認識し、データ保護を確保するために適切な措置を講じなければならないことを強調しています。過失がデータ侵害につながった場合でも、組織は多額の罰金に直面する可能性があります。

3.データ管理者または処理者が損害を軽減するために取った措置

違反による損害を軽減するためにデータ管理者または処理者がとった措置も考慮されます。違反の封じ込め、影響を受けた個人への通知、損害の最小化のために迅速かつ効果的な措置を講じた場合、罰金額が軽減される可能性があります。

このことは、強固なデータ侵害対応計画を策定することの重要性を浮き彫りにしています。情報漏えいに迅速かつ効果的に対応することで、組織は個人への被害を抑えることができるだけでなく、企業が直面する可能性のある金銭的な罰則も軽減できる可能性があります。

4.管理者または処理者の責任の程度

データ管理者または処理者の責任の程度は、GDPRの罰金を決定するもう一つの重要な要素です。GDPRは、管理者および処理者にデータ保護を確保する責任を課しています。もし彼らがその責任を果たせず、故意の過失であったことが証明されれば、多額の罰金が科される可能性があります。

責任の程度は、データ保護を確保するために事業者が実施した技術的・組織的措置、GDPRに基づく事業者の義務の遵守状況など、いくつかの要素に基づいて評価されます。企業が個人データを保護し、GDPRの規則を遵守するために必要なすべての措置を講じたことを証明できれば、罰金額が軽減される可能性があります。

5.関連する過去の侵害

GDPRの罰金を決定する際には、過去の違反も考慮されます。違反歴のある企業は、より高い罰金を科される可能性があります。違反を繰り返すということは、データ保護規則を軽視し、過去の過ちを正すというコミットメントが欠如していることを示すからです。

しかし、重要なのは過去の違反回数だけでなく、その性質や重大性も含まれます。1回の重大な違反は、複数の軽微な違反よりも深刻に捉えられる可能性があります。そのため、組織は違反の防止に努めるだけでなく、違反が発生した場合には速やかに是正措置を講じる必要があります。

6.監督当局との協力の程度

監督当局との協力の度合いもGDPRの制裁金に影響を与える要因の一つです。企業が監督当局に全面的に協力した場合、罰金額が軽減される可能性があります。協力には、違反を速やかに報告すること、当局に必要な情報をすべて提供すること、調査に協力することなどが含まれます。

対照的に、企業が違反を隠蔽しようとしたり、調査を妨害したりした場合は、より高い罰金に直面する可能性があります。したがって、データ侵害が発生した場合、監督当局に全面的に協力することが組織の最善の利益となります。

7.侵害の影響を受ける個人データのカテゴリー

侵害によって影響を受ける個人データのカテゴリーもGDPRの罰金額に影響を与える可能性があります。財務情報、健康記録、その他の特殊カテゴリーデータなどの機密性の高い個人データがデータ侵害で流出した場合、企業はより高い罰金に直面する可能性が高いです。

なぜなら、このようなデータの暴露は、個人情報の盗難、金銭的損失、評判の低下など、個人に深刻な被害をもたらす可能性があるからです。したがって、組織は多額の罰金を避けるために、機密個人データの保護に細心の注意を払わなければなりません。

8.侵害が監督当局に知られた方法

違反が監督当局に知られるようになった方法も、GDPRの罰金に影響を与える可能性があります。企業が違反を迅速かつ自主的に報告した場合、罰金額が軽減される可能性があります。逆に、第三者からの苦情や監査によって違反が発覚した場合、企業はより高い罰金に直面する可能性があります。

このことは、データ侵害が発生した場合の透明性と迅速な報告の重要性を強調しています。情報漏えいを迅速に報告することで、組織は法的義務を遵守できるだけでなく、直面する可能性のある金銭的な罰則を軽減できる可能性があります。

9.管理者または処理者に対する措置の遵守

管理者または処理者に対して命じられた措置の遵守は、GDPRの罰金に影響を与えうるもう一つの要因です。企業が監督当局から命じられた措置を迅速かつ完全に遵守した場合、罰金額が軽減される可能性があります。一方、企業が措置に従わない場合、より高い罰金に直面する可能性があります。

このことは、GDPRに基づくすべての法的義務を遵守することの重要性を浮き彫りにしています。監督当局が命じた措置を遵守することで、組織は違反を是正できるだけでなく、直面する可能性のある金銭的な罰則を軽減できる可能性もあります。

10.行動規範または承認された認証メカニズムの遵守

最後に、行動規範または承認された認証メカニズムの遵守もGDPRの罰金に影響を与える可能性があります。事業体がそのような規範やメカニズムを遵守している場合、罰金額が軽減される可能性があります。なぜなら、そのような遵守は、データ保護とGDPR規則の遵守に対する企業のコミットメントを示すからです。

したがって、組織は、データ保護へのコミットメントを示し、直面する可能性のある金銭的処罰を軽減するために、関連する行動規範または認証メカニズムの遵守に努めるべきです。

これまでのGDPRによる最大の罰金の例

メタ

かつてフェイスブックとして知られていたメタ社は、これまでで最大級のGDPR制裁金を科されました。2021年7月、ルクセンブルクの国家データ保護委員会（CNPD）はGDPR違反でメタ社に7億4600万ユーロの罰金を科しました。この罰金は、同社がユーザーデータを満足に保護せず、広告目的で個人データを悪用したことが原因で課されました。

2023年、メタは適切なデータ保護メカニズムなしに欧州ユーザーの個人データを米国に移転したとして、アイルランドのデータ保護委員会からさらに多額の罰金12億ユーロを受け取りました。

アマゾン

2021年7月、アマゾンはこれまでで最高額のGDPR制裁金を受け取りました。ルクセンブルク国家データ保護委員会（CNPD）は、電子商取引の巨人であるアマゾンに7億4600万ユーロの罰金を科しました。この罰金は、アマゾンがその広告慣行においてGDPR規制を遵守していなかったことに起因します。

TikTok

中国資本の人気ソーシャルメディア・プラットフォームTikTokもGDPRの罰金を科されました。2021年7月、オランダのデータ保護局（DPA）はGDPR規制に違反したとしてTikTokに75万ユーロの罰金を科しました。この違反は、TikTokがオランダ語でのプライバシー・ステートメントを提供しなかったため、多くの若いユーザーが同社のデータ処理方法を理解できなかったことによります。そして2023年、TikTokは13歳未満の140万人の子どものデータを親の同意なしに違法に処理したとして、1270万ポンドの罰金を受けました。

WhatsApp

人気メッセージングサービスのWhatsAppは2021年9月、アイルランドのデータ保護委員会（DPC）から2億2500万ユーロの罰金を科されました。この罰金は、WhatsAppがユーザーデータの処理方法について透明性を欠いていたことが原因で科されました。このケースは、主に無料サービスを提供している企業であっても、データ保護法を遵守しなければGDPRの多額の罰金に直面する可能性があることを示しています。

グーグル合同会社

2020年3月、スウェーデンデータ保護局（DPA）は、GDPRの「忘れられる権利」を遵守しなかったとして、グーグル合同会社に700万ユーロの罰金を科しました。この罰金は、グーグルが個人から削除要請のあった2件の検索結果リストを適切に削除しなかったために科されたもので、ユーザーのデータ削除要請を尊重することの重要性が示されました。

クリテオ

2020年12月、フランスデータ保護局（CNIL）は、クッキーの同意に関するGDPRの規則に違反したとして、CRITEO社に22万5000ユーロの罰金を科しました。同社は、ユーザーが同意を拒否した後も、ユーザーのコンピュータに広告クッキーを設置し続けたとして有罪となりました。

H&M

従業員データに関連するGDPRの罰金としては最大級のもので、H&Mは2020年10月にハンブルグ・データ保護・情報自由委員会（HmbBfDI）から3500万ユーロの罰金を科されました。この罰金は、H&Mがニュルンベルクのサービスセンターで数百人の従業員を違法に監視していたことに起因します。

クリアビューAI

画期的なケースとして、顔認識企業のクリアビューAIは2022年1月、イタリアデータ保護局（Garante）から2000万ユーロの罰金を科されました。同社はユーザーの同意なしに生体認証データを収集し、GDPRに違反したことが明らかになりました。このケースは、機密性の高い生体データを悪用した企業に対してGDPRの罰金が課される可能性があることを示しています。

GDPRの罰金が増加？

要するに、GDPRの罰金は、その頻度も規模も徐々にエスカレートしているということです。

当初、2018年5月の施行後、GDPRの執行の焦点は意識向上とコンプライアンスに置かれていました。しかし、2019年、2020年になると、データ同意ポリシーの不備を理由にフランスのCNILがグーグルに対して5000万ユーロの制裁金を科すなど、多額の制裁金によって注目され、執行措置が顕著に増加しました。

この傾向は2021年にも加速し、アマゾンがデータ処理基準の不遵守に対して7億4600万ユーロの制裁金を科したことに代表され、2022年にはWhatsAppのプライバシーポリシー問題に対する2億2500万ユーロの制裁金を含む、メタ社に対する複数の多額の制裁金が科せられました。

2023年はGDPR施行の転換点となり、総額16億ユーロを超える記録的な罰金を目の当たりにしました。特筆すべき例は、アイルランドデータ保護委員会がメタ社に課した12億ユーロという前代未聞の罰金です。このように制裁金の規模も総額も劇的に増加したことは、GDPR執行に対するより積極的なアプローチを強調するものであり、データ保護に対する欧州連合の強いコミットメントを示すものです。

エクサビームによるGDPR対応

データ保護ポリシーと慣行を更新する作業は大変に見えるかもしれませんが、エコシステムの警戒を改善するために特別に設計されたツールを採用することで、組織は機密資産と情報の安全確保に向けて長い道のりを歩むことができます。データ保護責任者がすべてのデータアクセス活動をより効果的に監視し、対応できるようにすることで、Exabeam Fusion Enterprise Edition Incident Responder、GDPRの技術的要件と運用要件の両方を満たすことができます。

• 外部脅威の削減：Exabeamは既存のセキュリティ・ソリューションと連携し、AIを活用した行動分析によって、ハッカーがデータを発見しアクセスしようとしていることを示す異常な行動を特定します。
• 内部脅威の削減：Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れた行為にフラグを立てることで、Exabeamは潜在的なデータ盗難を検知するのに役立ちます。
• 監視とタイムリーな通知Exabeamは、お客様のセキュリティ・エコシステムにおけるインテリジェンスの中心的な役割を果たすだけでなく、より良いコンプライアンス・レポーティングのために、フォレンジックとアクティビティの正確な可視化を提供します。

GDPRへの準拠の一環として、エクサビームでは、商業的に認められている認証に準拠したセキュリティ対策を行っています。認証とGDPRへの対応についての詳細は、Exabeam Trust Centerページでご覧いただけます。