久しぶりにGDPRの記事を目にしました(見つけました)。
www.dailysabah.com
トルコのPersonal Data Protection Authority(KVKK)は、データ侵害と当局への問題の報告の失敗に関して、ソーシャルメディアプラットフォームFacebookに対して1,650,000のトルコリラ(270,000ドル)の行政罰金を発行しました。
ウォッチドッグは、2018年12月14日に公開されたエンジニアリングディレクターのTomer Barによる第三者のアプリケーションからユーザーの写真へのアクセスを可能にするAPIバグに関する声明で、Facebookに対する直接の調査を開始しました。9月13日から25日までの12日間に及ぶこの侵害は、「最大680万人のユーザーと、876人の開発者によって構築された最大1,500個のアプリに影響を及ぼした可能性がある」と当時は語った。
KVKKは、Facebookがタイムリーに違反に介入することに失敗し、適切な技術的および管理的措置を講じることに失敗したことを発見した。データ漏えいは個人データ保護に関する法律第6698号第12条の違反であり、KVKKはデータセキュリティの責任を果たすことができなかったとしてもTL 110万罰金を発行したと述べた。
漏洩に関してKVKKに通知しなかったことについて、追加のTL 550,000罰金がFacebookに発行された。
KVKKは、トルコの約30万人のユーザーがこのデータ侵害の影響を受けている可能性があると述べた。
(Daily Sabah記事より引用)※機械翻訳
◆キタきつねの所感
GDPRは恐ろしい。改めてGAFAは感じているかもしれません。Googleはフランスで5000万€(約62億円)の罰金でしたが、今回のFacebookは報告義務違反(追加110万トルコリラ)を合わせても、27万ドル(約3000万円)ですので、非常に高額な罰金とまではなってません。
しかし注意しなければいけないのは、1つの技術的な脆弱性で対応を誤るとこの金額まで(1つの国で)罰金を課されてしまう事と言えます。
GAFAに対する懲罰的な意味合いも強いかと思いますが、
参考:GDPR違反の罰金額を調べてみた(2019年1月版) - Fox on Security
欧州規制当局への報告義務違反の部分は、GDPRの十分制認定でもカバーされない可能性もありますので、留意が必要かと思います。
GDPR(General Data Protection Regulation:一般データ保護規則)/個人情報保護委員会
※GDPRの罰金例について定期的に調査しようと思っていたのですが、なかなか事例を見つけられておりませんが、また何か引っかかったら共有できればと思います。
更新履歴
