GDPRにおける制裁金:該当する義務違反のケースや制裁金判断の考慮要素とは?

2018-09-13

はじめに

GDPRの要求事項として、GDPR違反時に高額の制裁金が科されます。この点もよくご質問を頂戴する、関心の高い領域です。今回は、制裁金が科せられる義務違反のケースや、当局が制裁金を決定する上で考慮する点やプロセスについて解説します。

制裁金が科せられる義務違反のケース

GDPR制裁金の上限金額には2種類のカテゴリーがあります。

(1) 最大10,000,000ユーロ、または全世界年間売上高の2%のどちらか高い方

(2) 最大20,000,000ユーロ、または全世界年間売上高の4%のどちらか高い方

この章では、どのような違反が制裁金の対象となるのか、これらの制裁金が科せられる義務違反のケース(該当する違反類型)をそれぞれ解説します。

(1) 最大10,000,000ユーロ、または全世界年間売上高の2%のどちらか高い方

組織的な対策が疎かな場合など、一般データ保護規則の条文[PDF 1,230KB] 第83条 5項のカテゴリーに定義されている項目が該当します。(※1)

  • 16歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(第8条)
  • GDPR要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第25条、第28条)
  • EU代理人を選任する義務を怠った場合(第27条)
  • 責任に基づいて処理行為の記録を保持しない場合(第30条)
  • 監督機関に協力しない場合(第31条)
  • リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第32条)
  • セキュリティ違反を監督機関に通知する義務を怠った場合(第33条)
  • データ主体に通知しなかった場合(第34条)
  • 影響評価を行なわなかった場合(第35条)
  • 影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合(第36条)
  • データ保護責任者(DPO)*を選任しなかった場合、または、その職や役務を尊重しなかった場合(第37~39条)

次に(1)よりも制裁金額が高額となる(2)について、義務違反のケースを解説します。

(2) 最大20,000,000ユーロ、または全世界年間売上高の4%の、どちらか高い方

一般データ保護規則の条文[PDF 1,230KB] 第83条 4項のカテゴリーに定義されている項目が該当します。(※2)GDPRの根幹に関わる、同意の取得・データ主体の権利・域外移転・加盟国の国内法違反・監督機関の指導不遵守といった個人の権利を侵害するケースとなるため、(1)のカテゴリーよりも高額な制裁金が科せられます。

  • 個人データの処理に関する原則を遵守しなかった場合(第5条)
  • 適法に個人データを処理しなかった場合(第6条)
  • 同意の条件を遵守しなかった場合(第7条)
  • 特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
  • データ主体の権利およびその行使の手順を尊重しなかった場合(第12‐22条)
  • 個人データの移転の条件に従わなかった場合(第44‐49条)
  • 監督機関の命令に従わなかった場合(第58条(1)および(2))

(※1)「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」[PDF 1,141KB] 第83条5項抜粋

(※2)「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」[PDF 1,141KB] 第83条4項抜粋

制裁金額は11の考慮要素から統合的に判断

上記で述べた義務違反のケースに該当する場合、制裁金が一律全額科されるわけではありません。制裁金額の考慮要素が11項目定義されており、各考慮要素についてどのような対処が行われたのか、総合的に監査され、当局が制裁金額を判断します。

制裁金の検討における11の考慮要素 GDPR第83条2項(a)~(k)11項目列挙

(a)違反の性質、重大さおよび期間

(b)違反の故意または過失

(c)データ主体の受ける損害を軽減させるために管理者または取扱者がとった行動

(d)管理者および取扱者の責任の程度

(e)管理者または取扱者によるあらゆる関連する以前の違反

(f)違反の是正および違反により起こり得る悪影響軽減のため、監督機関との協力の程度

(g)違反によって影響を受ける個人データの種類

(h)監督機関への違反通知措置

(i)同じ対象事項に関して、関連する管理者または取扱者に対して事前に命令された第58条第2項で定める措置における、それら対策への遵守

(j)第40条による承認された行動規範または第42条による承認された認証メカニズムの固守

(k)事案の状況に適用される悪化または軽減要素

万全なGDPR対応を進めていながらも、不可抗力的な事故で違反が発生した場合には、制裁金の減額や是正処置が下される可能性が高いと考えられます。しかし以前から注意を受けていた場合や、改善や対策を講じていなかった場合、重大な違反が累計した場合には、改善努力を怠ったとして、高額な制裁金が科されるリスクが高くなります。

各フェーズにおける制裁金の考慮観点

11の考慮要素については、違反発生前、違反発生時、違反発生後のフェーズで考慮されます。考慮要素と関連するフェーズは以下の図のように関係しています。

11の考慮要素について

各フェーズにおいて考慮される要素について11項目の中から代表的な要素を列挙し、検討の観点を解説します。

違反発生前

1.(e)管理者または取扱者によるあらゆる関連する以前の違反

一般的な知識の不足、ルールへの遵守意識の不足を示すものとして、広く考慮されます

2.(i)同じ対象事項に関して、関連する管理者または取扱者に対して事前に命令された第58条第2項で定める措置における、それら対策への遵守

以前の違反に基づいて監督機関が既にモニタリングを行っている場合には、監督機関への対応状況についても考慮されます

3.(j)第40条による承認された行動規範または第42条による承認された認証メカニズムの固守

行動規範、認証メカニズムに則っていなかった場合、管理者・処理者は、無視ないし意図的に違反を行っていたと判断されます

違反発生時

4.(a)違反の性質、重大さおよび期間

是正のための措置としてどのような対応が必要かという観点から、違反の性質、重大さおよび期間が考慮されます

5.(b)違反の故意または過失

一般的に、過失の場合よりも故意の場合の方が制裁金を受けやすくなります

6.(d)管理者および取扱者の責任の程度

技術的DPbD(Data Protection by Design and by Default)(25条)、組織的DPbD(25条)、取り扱いの保護(32条)、定常業務・ポリシー(24条)に対する事情を踏まえて違反の背景が判断されます

7.(g)違反によって影響を受ける個人データの種類

特別カテゴリーのデータか、直接個人を特定可能なデータか、データ主体に損害・苦痛を与えるか、データは暗号化されているか、という点を考慮の上、判断されます

8.(k)事案の状況に適用される悪化または軽減要素

データ漏えいによって得た利益がとりわけ重要視されます

違反発生後

9.(c)データ主体の受ける損害を軽減させるために管理者または取扱者がとった行動

データ主体の情報漏えいに責任のある者は、結果を軽減するためにできることがあるのであれば、何であれ実施すべきと判断されます

10.(f)違反の是正および違反により起こり得る悪影響軽減のため、監督機関との協力の程度

調査フェーズにおいて、監督機関の要請に対応することで、結果としてデータ主体の権利保護につながったような場合が想定されます

11.(h)監督機関への違反通知措置

不注意で通知をしなかった場合、すべてを詳細に通知しなかった場合には、より重大なペナルティが科されます

このように、さまざまな要素が当局とのヒアリングを複数回繰り返した後に総合的に監査され、最終的に当局が持っている判断基準に従って提訴・判断され、制裁金の額が決定されます。

インシデント発生時、制裁金に関する最善の対応策とは

当局には調査権限や是正権限があります。インシデントが発生した際に、速やかに当局とコミュニケーションを取り、繰り返されるヒアリングに的確に答えることができた場合、制裁金にはつながりにくいと考えられます。GDPR対応に過失があった場合にも、過失の理由などを的確に答えることができれば、是正措置だけで免れることも想定されます。まずは、調査に協力できる体制を構築することを強く推奨します。また、当局から是正の要求がされた場合に、すぐに対応を実施することも重要です。調査や是正に関するコミュニケーションを当局と何度も繰り返し、制裁金が決定されますが、もしこれらが円滑に進まなかった場合、裁判となります。

加えて、推進している事業と関連する制裁金が科される条文を事前に把握しておくことも重要です。条文に記載されている内容を確認し、どのような場合に制裁金が科されるかを的確に把握します。自社の業務や体制と照らし合わせ、自社にとって違反時のリスクが高いものを精査し、対策を講じます。これらの対応は、GDPR対策を実施することと同意になります。リスクベースアプローチで適切な判断をしたうえで優先順位をつけてGDPR対応を進めていくことをお勧めします。

松浦 大
PwCコンサルティング合同会社
マネージャー

ITセキュリティ企業やシステムインテグレーターのセキュリティセールスリーダーなど、セキュリティ業界で約15年の業務経験を持ち、サイバーセキュリティ対策に係るアドバイスはもとより、近時では、EU一般データ保護規則をはじめとする各国のプライバシーレギュレーション対応支援のサービスを提供している。

プロフィール

※ 法人名、役職、コラムの内容などは掲載当時のものです。

最新のサイバーセキュリティ コラム・対談


関連情報

Contact us

Follow us