GDPRにおける制裁金：該当する義務違反のケースや制裁金判断の考慮要素とは？

制裁金が科せられる義務違反のケース

GDPR制裁金の上限金額には2種類のカテゴリーがあります。

（1） 最大10,000,000ユーロ、または全世界年間売上高の2％のどちらか高い方

（2） 最大20,000,000ユーロ、または全世界年間売上高の4％のどちらか高い方

この章では、どのような違反が制裁金の対象となるのか、これらの制裁金が科せられる義務違反のケース（該当する違反類型）をそれぞれ解説します。

（1） 最大10,000,000ユーロ、または全世界年間売上高の2％のどちらか高い方

組織的な対策が疎かな場合など、一般データ保護規則の条文[PDF 1,230KB] 第83条 5項のカテゴリーに定義されている項目が該当します。（※1）

• 16歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合（第8条）
• GDPR要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合（第25条、第28条）
• EU代理人を選任する義務を怠った場合（第27条）
• 責任に基づいて処理行為の記録を保持しない場合（第30条）
• 監督機関に協力しない場合（第31条）
• リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合（第32条）
• セキュリティ違反を監督機関に通知する義務を怠った場合（第33条）
• データ主体に通知しなかった場合（第34条）
• 影響評価を行なわなかった場合（第35条）
• 影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合（第36条）
• データ保護責任者（DPO）*を選任しなかった場合、または、その職や役務を尊重しなかった場合（第37～39条）

次に（1）よりも制裁金額が高額となる（2）について、義務違反のケースを解説します。

（2） 最大20,000,000ユーロ、または全世界年間売上高の4％の、どちらか高い方

一般データ保護規則の条文[PDF 1,230KB] 第83条 4項のカテゴリーに定義されている項目が該当します。（※2）GDPRの根幹に関わる、同意の取得・データ主体の権利・域外移転・加盟国の国内法違反・監督機関の指導不遵守といった個人の権利を侵害するケースとなるため、（1）のカテゴリーよりも高額な制裁金が科せられます。

• 個人データの処理に関する原則を遵守しなかった場合（第5条）
• 適法に個人データを処理しなかった場合（第6条）
• 同意の条件を遵守しなかった場合（第7条）
• 特別カテゴリーの個人データ処理の条件を遵守しなかった場合（第9条）
• データ主体の権利およびその行使の手順を尊重しなかった場合（第12‐22条）
• 個人データの移転の条件に従わなかった場合（第44‐49条）
• 監督機関の命令に従わなかった場合（第58条（1）および（2））

（※1）「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」[PDF 1,141KB] 第83条5項抜粋

（※2）「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」[PDF 1,141KB] 第83条4項抜粋

各フェーズにおける制裁金の考慮観点

11の考慮要素については、違反発生前、違反発生時、違反発生後のフェーズで考慮されます。考慮要素と関連するフェーズは以下の図のように関係しています。

各フェーズにおいて考慮される要素について11項目の中から代表的な要素を列挙し、検討の観点を解説します。

違反発生前

1．（e）管理者または取扱者によるあらゆる関連する以前の違反

一般的な知識の不足、ルールへの遵守意識の不足を示すものとして、広く考慮されます

2．（i）同じ対象事項に関して、関連する管理者または取扱者に対して事前に命令された第58条第2項で定める措置における、それら対策への遵守

以前の違反に基づいて監督機関が既にモニタリングを行っている場合には、監督機関への対応状況についても考慮されます

3．（j）第40条による承認された行動規範または第42条による承認された認証メカニズムの固守

行動規範、認証メカニズムに則っていなかった場合、管理者・処理者は、無視ないし意図的に違反を行っていたと判断されます

違反発生時

4．（a）違反の性質、重大さおよび期間

是正のための措置としてどのような対応が必要かという観点から、違反の性質、重大さおよび期間が考慮されます

5．（b）違反の故意または過失

一般的に、過失の場合よりも故意の場合の方が制裁金を受けやすくなります

6．（d）管理者および取扱者の責任の程度

技術的DPbD（Data Protection by Design and by Default）（25条）、組織的DPbD（25条）、取り扱いの保護（32条）、定常業務・ポリシー（24条）に対する事情を踏まえて違反の背景が判断されます

7．（g）違反によって影響を受ける個人データの種類

特別カテゴリーのデータか、直接個人を特定可能なデータか、データ主体に損害・苦痛を与えるか、データは暗号化されているか、という点を考慮の上、判断されます

8．（k）事案の状況に適用される悪化または軽減要素

データ漏えいによって得た利益がとりわけ重要視されます

違反発生後

9．（c）データ主体の受ける損害を軽減させるために管理者または取扱者がとった行動

データ主体の情報漏えいに責任のある者は、結果を軽減するためにできることがあるのであれば、何であれ実施すべきと判断されます

10．（f）違反の是正および違反により起こり得る悪影響軽減のため、監督機関との協力の程度

調査フェーズにおいて、監督機関の要請に対応することで、結果としてデータ主体の権利保護につながったような場合が想定されます

11．（h）監督機関への違反通知措置

不注意で通知をしなかった場合、すべてを詳細に通知しなかった場合には、より重大なペナルティが科されます

このように、さまざまな要素が当局とのヒアリングを複数回繰り返した後に総合的に監査され、最終的に当局が持っている判断基準に従って提訴・判断され、制裁金の額が決定されます。