欧州連合(EU)が一般データ保護規則(GDPR)を施行してから2年半が経過した。当初はその運用は控えめだったが、最近では徐々に厳しく適用されるようになってきている。GDPRを守らない企業に対する制裁金の金額は大きくなる一方だ。
欧州評議会が定めた「データ保護の日」が近づく中、法律事務所のDLA Piperのデータ保護チームが発表したレポートによれば、過去1年間でGDPRがらみで科された制裁金は総額で1億5850万ユーロ(約200億円)であり、それ以前の20カ月間に科された制裁金と比べて40%近くも増えているという。GDPRが施行されてから科された制裁金の合計額は、2億7250万ユーロ(約340億円)に達している。
情報漏えいの報告件数も増加しており、過去12カ月間では1日平均331件の情報漏えいが報告されている(前年は278件)。2018年5月25日以降に報告された情報漏えいの件数は、合計で28万1000件になった。
GDPR関連の動きは加速しているが、この制度はまだ多くの問題を抱えている。DLA Piperの英国データ保護・セキュリティグループのチェアであるRoss McKean氏は、米ZDNetの取材に対して、「GDPRはまだできたばかりだ」と述べ、「この文書にはまだ曖昧さや矛盾が多く残っており、執行に困難を伴うため、規制当局は慎重に対応している」と続けた。
原則としてはGDPRの規則は統一されたもので、すべての加盟国で同じように適用されることになっているが、現実は違うようだ。国によって人的、財政的、技術的なリソースが異なるため、法律の運用に対するアプローチも異なっているのが現状だとみられている。
そうした相違は数字にも表れている。ドイツではGDPRの施行以来、7万7747件の情報漏えい報告を受けているのに対して、イタリアでは同じ期間に3460件の報告しかない。数字の違いは文化の違いに関連している可能性もある。「GDPRは1つの法律ではなく、1つの規制が各国で異なる形で解釈されている」とMcKean氏は言う。
これまでに注目を集めたGDPRの制裁金の例を見れば、新しいルールの運用には曖昧な部分が残っていることが分かる。例えば英国では、GDPR違反で科せられた制裁金の金額が4番目と5番目に大きい事例が起きているが、どちらのケースも、不服を申し立てた結果、実際に科せられた金額は当初の額から大幅に減額されている。
2020年には、数十万件の顧客の個人情報がハッカーに盗まれた問題でBritish Airwaysに2000万ポンド(約27億円)の制裁金が科せられたが、コロナ禍の影響もあって、金額は当初の1億8340万ポンドに比べ90%減額されたものになった。同じ理由で、3億3900万人の宿泊客の情報が盗まれたホテルチェーンMarriotに対する制裁金も、当初の金額の約20%である1840万ポンド(約25億円)に減額されている。
これまでにGDPRに基づいて科された最大規模の制裁金は、フランスのデータ保護当局「情報処理と自由に関する国家委員会」(CNIL)が2019年に科したもので、Googleの透明性に関するルールの違反に対して、5000万ユーロ(約62億円)の制裁金が科された。
