{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2018-09-13
GDPRの要求事項として、GDPR違反時に高額の制裁金が科されます。この点もよくご質問を頂戴する、関心の高い領域です。今回は、制裁金が科せられる義務違反のケースや、当局が制裁金を決定する上で考慮する点やプロセスについて解説します。
GDPR制裁金の上限金額には2種類のカテゴリーがあります。
(1) 最大10,000,000ユーロ、または全世界年間売上高の2%のどちらか高い方
(2) 最大20,000,000ユーロ、または全世界年間売上高の4%のどちらか高い方
この章では、どのような違反が制裁金の対象となるのか、これらの制裁金が科せられる義務違反のケース(該当する違反類型)をそれぞれ解説します。
組織的な対策が疎かな場合など、一般データ保護規則の条文[PDF 1,230KB] 第83条 5項のカテゴリーに定義されている項目が該当します。(※1)
次に(1)よりも制裁金額が高額となる(2)について、義務違反のケースを解説します。
一般データ保護規則の条文[PDF 1,230KB] 第83条 4項のカテゴリーに定義されている項目が該当します。(※2)GDPRの根幹に関わる、同意の取得・データ主体の権利・域外移転・加盟国の国内法違反・監督機関の指導不遵守といった個人の権利を侵害するケースとなるため、(1)のカテゴリーよりも高額な制裁金が科せられます。
(※1)「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」[PDF 1,141KB] 第83条5項抜粋
(※2)「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」[PDF 1,141KB] 第83条4項抜粋
上記で述べた義務違反のケースに該当する場合、制裁金が一律全額科されるわけではありません。制裁金額の考慮要素が11項目定義されており、各考慮要素についてどのような対処が行われたのか、総合的に監査され、当局が制裁金額を判断します。
(a)違反の性質、重大さおよび期間
(b)違反の故意または過失
(c)データ主体の受ける損害を軽減させるために管理者または取扱者がとった行動
(d)管理者および取扱者の責任の程度
(e)管理者または取扱者によるあらゆる関連する以前の違反
(f)違反の是正および違反により起こり得る悪影響軽減のため、監督機関との協力の程度
(g)違反によって影響を受ける個人データの種類
(h)監督機関への違反通知措置
(i)同じ対象事項に関して、関連する管理者または取扱者に対して事前に命令された第58条第2項で定める措置における、それら対策への遵守
(j)第40条による承認された行動規範または第42条による承認された認証メカニズムの固守
(k)事案の状況に適用される悪化または軽減要素
万全なGDPR対応を進めていながらも、不可抗力的な事故で違反が発生した場合には、制裁金の減額や是正処置が下される可能性が高いと考えられます。しかし以前から注意を受けていた場合や、改善や対策を講じていなかった場合、重大な違反が累計した場合には、改善努力を怠ったとして、高額な制裁金が科されるリスクが高くなります。
11の考慮要素については、違反発生前、違反発生時、違反発生後のフェーズで考慮されます。考慮要素と関連するフェーズは以下の図のように関係しています。
各フェーズにおいて考慮される要素について11項目の中から代表的な要素を列挙し、検討の観点を解説します。
1.(e)管理者または取扱者によるあらゆる関連する以前の違反
一般的な知識の不足、ルールへの遵守意識の不足を示すものとして、広く考慮されます
2.(i)同じ対象事項に関して、関連する管理者または取扱者に対して事前に命令された第58条第2項で定める措置における、それら対策への遵守
以前の違反に基づいて監督機関が既にモニタリングを行っている場合には、監督機関への対応状況についても考慮されます
3.(j)第40条による承認された行動規範または第42条による承認された認証メカニズムの固守
行動規範、認証メカニズムに則っていなかった場合、管理者・処理者は、無視ないし意図的に違反を行っていたと判断されます
4.(a)違反の性質、重大さおよび期間
是正のための措置としてどのような対応が必要かという観点から、違反の性質、重大さおよび期間が考慮されます
5.(b)違反の故意または過失
一般的に、過失の場合よりも故意の場合の方が制裁金を受けやすくなります
6.(d)管理者および取扱者の責任の程度
技術的DPbD(Data Protection by Design and by Default)(25条)、組織的DPbD(25条)、取り扱いの保護(32条)、定常業務・ポリシー(24条)に対する事情を踏まえて違反の背景が判断されます
7.(g)違反によって影響を受ける個人データの種類
特別カテゴリーのデータか、直接個人を特定可能なデータか、データ主体に損害・苦痛を与えるか、データは暗号化されているか、という点を考慮の上、判断されます
8.(k)事案の状況に適用される悪化または軽減要素
データ漏えいによって得た利益がとりわけ重要視されます
9.(c)データ主体の受ける損害を軽減させるために管理者または取扱者がとった行動
データ主体の情報漏えいに責任のある者は、結果を軽減するためにできることがあるのであれば、何であれ実施すべきと判断されます
10.(f)違反の是正および違反により起こり得る悪影響軽減のため、監督機関との協力の程度
調査フェーズにおいて、監督機関の要請に対応することで、結果としてデータ主体の権利保護につながったような場合が想定されます
11.(h)監督機関への違反通知措置
不注意で通知をしなかった場合、すべてを詳細に通知しなかった場合には、より重大なペナルティが科されます
このように、さまざまな要素が当局とのヒアリングを複数回繰り返した後に総合的に監査され、最終的に当局が持っている判断基準に従って提訴・判断され、制裁金の額が決定されます。
当局には調査権限や是正権限があります。インシデントが発生した際に、速やかに当局とコミュニケーションを取り、繰り返されるヒアリングに的確に答えることができた場合、制裁金にはつながりにくいと考えられます。GDPR対応に過失があった場合にも、過失の理由などを的確に答えることができれば、是正措置だけで免れることも想定されます。まずは、調査に協力できる体制を構築することを強く推奨します。また、当局から是正の要求がされた場合に、すぐに対応を実施することも重要です。調査や是正に関するコミュニケーションを当局と何度も繰り返し、制裁金が決定されますが、もしこれらが円滑に進まなかった場合、裁判となります。
加えて、推進している事業と関連する制裁金が科される条文を事前に把握しておくことも重要です。条文に記載されている内容を確認し、どのような場合に制裁金が科されるかを的確に把握します。自社の業務や体制と照らし合わせ、自社にとって違反時のリスクが高いものを精査し、対策を講じます。これらの対応は、GDPR対策を実施することと同意になります。リスクベースアプローチで適切な判断をしたうえで優先順位をつけてGDPR対応を進めていくことをお勧めします。
松浦 大
PwCコンサルティング合同会社
マネージャー
ITセキュリティ企業やシステムインテグレーターのセキュリティセールスリーダーなど、セキュリティ業界で約15年の業務経験を持ち、サイバーセキュリティ対策に係るアドバイスはもとより、近時では、EU一般データ保護規則をはじめとする各国のプライバシーレギュレーション対応支援のサービスを提供している。
※ 法人名、役職、コラムの内容などは掲載当時のものです。