自発的な行動によるもの

冒頭で述べた通り、最終的には2,000万ポンド(およそ30億円)もの制裁金が科されることとなった。当初の1億8,339万ポンドから実質上、大幅な減額が行われたことになる。

また、今後制裁の対象となってしまう企業にとっては教訓や参考とはなりにくいが、今回は新型コロナウイルスに伴う経済的影響も考慮されており、当初の制裁金額から400万ポンド(およそ5億円)の減額へとつながっている。国内外の一部メディアでは「新型コロナウイルスによって制裁金が減額された」というキャッチーな話題ばかりを前面に押し出したものもあるが、「なぜ」減額に至っているのかの本質を見誤ってはいけない。 もちろん400万ポンドという金額の大きさはあるが、大幅な減額をもたらした主たる要因というわけではない。

2018年には大手ソーシャルメディア「LinkedIn」が入手したメールアドレスに関して、アイルランドの監督当局への苦情申し立てが発生したことがある(*2)。その際、同社では苦情を引き起こすこととなった処理を停止し、英監督当局が科したGDPR施行前の個人データも削除するなど、対応を行った。自発的に行動し誠意ある対応を示すことで、制裁金などの罰則を受けていない好例だ。

厳格な個人データ保護法は欧州だけでなく、米国でも一部の州で既に始まっており、日本でも今年6月の改正個人情報保護法など徐々に厳しくなってきている。巨額の制裁金などセンセーショナルな話題にフォーカスしてしまいがちではあるが、これらに対する「あるべき姿」も徐々に浮かび上がり始めている。引き続き注視していかなくてはならない。

ちなみに、大幅な減額がされたとはいえ、本稿執筆時点において同社に科された制裁金額はいまだに英監督当局によるGDPR最高額となっている。

本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉

出典

*1 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

*2 https://jp.reuters.com/article/idJP00093300_20190204_00320190204