Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

GDPR違反の罰金額を調べてみた(2019年1月版)

Googleに対してフランス当局(CNIL)がGDPR違反で5000万ユーロの罰金を課す事が発表され、Googleが不服申し立てをする様ですが、GDPRの罰金額・・・当初言われていた全世界売上の4%(最大)という恐ろしい罰金ではなかったので、少し調べてみました。

japan.cnet.com

 

◆キタきつねの所感

海外の記事を調査していたのですが、GDPR違反の調査中である企業はかなり多い様です。ですが罰金額まで課されたケースは、あまり多く拾えません。Google以外では(少なくても)2件の事例が出ている様です。Googleと同時期にGDPR施行翌日にプライバシー保護を訴える非営利団体noybの訴えに訴えられ,調査中であるFacebook、WhatsApp、Instagram(Facebook)も、noybの情報を参考に、状況を載せておきます。

年月 組織 最大罰金額
(理論上)
罰金額 違反概要
2018/7 某病院 ポルトガル
(CNPD)
不明 40万ユーロ
(約5000万円)
病院のスタッフ等の職員が誤ったプロファイルを通じて患者データにアクセスしており、医師は専門分野に関係なくすべての患者ファイルに無制限にアクセスが出来たとして、患者データを保護する為に適切な技術的・組織的措置を講じてなかったと判断された。病院側は罰金に意義を唱えている。
2018/11 Knuddels.de

ドイツ
(Baden-Württemberg Data Protection Authority)
不明

2万ユーロ

(約250万円)

チャットプラットフォームのサイトに少なくても33万件の電子メール、ユーザの本名、本拠地、パスワード(平文)などの個人情報を公開した違反により罰金が課された。ドイツ初のGDPR違反。
2019/1 Google フランス
(CNIL)
37億ユーロ
(約4600億円)
5000万ユーロ(約62億円) Googleが自社のデータ収集ポリシーを正しく説明してなかった。検索エンジンが自社サービス内のデータ処理や個別広告に関してユーザの同意を得てなかった。
※フランス権限による最大罰金:37億ユーロ
 

Instagram

Facebook)

ベルギー
DPA
13億ユーロ
(約1623億円)
  個人情報に関する同意の強要がされているとして、GDPR第7条(4)違反でGDPR施行翌日にnoybにより訴えられる。
※ベルギー権限による最大罰金:13億ユーロ
  WhatsApp ドイツ
(HmbBfDI)
13億ユーロ
(約1623億円)
  個人情報に関する同意の強要がされているとして、GDPR第7条(4)違反でGDPR施行翌日にnoybにより訴えられる。
ハンブルグ権限による最大罰金:13億ユーロ
  Facebook オーストリア
(DSB)
13億ユーロ
(約1623億円)
  個人情報に関する同意の強要がされているとして、GDPR第7条(4)違反でGDPR施行翌日にnoybにより訴えられる。
オーストリア権限による最大罰金:13億ユーロ

 

今の所と言えば良いのでしょうか、Googleも全世界売上で試算すると数千億円が最大罰金となりえてしまうのですが、そこまでは罰金額が大きくは無い様です。どうやら各国当局の裁量には、最大罰金の上限がある様です。それでも62億円と考えると、かなり罰金は大きいのですが、

それ以外の某病院(罰金:約5000万円)やチャットプラットフォームの Knuddels(罰金:約250万円)は、必ずしも2000万ユーロ=約25億円・・・から考えると、最大罰金は最大として定義されているものの、実際に課される罰金は、セキュリティ状況やその後の対応などの事情を考慮して判断される様です。

 

ただ、どこを判断されて罰金が決められるかについては、その判断基準がまったく分かりません。そうした意味ではGDPRの対象となる個人情報を保有する企業は、自社のセキュリティ体制をしっかり構築して、違反しない様にするしかないようです。

 

今回調査して思ったのですが、残念ながら日本で定期的にGDPR違反を追いかけて(公開している)いる人は少ない様です。正直、日本語ページがほとんどヒットしません。

 

今後も継続的にGDPR違反の情報を追いかけてみようかと思います。

 

 

参考:noyb関連の記事

www.itmedia.co.jp

 

参考:GDPR適用の初事例?(ポルトガルの某病院の記事)

www.insideprivacy.com

 

参考:GDPR適用のドイツ初事例(ソーシャルメディアのKnuddels)

www.welivesecurity.com

 

å®ãããå人æå ±ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月27日PM(予約投稿)