EUで新たなデジタルプライバシー規制が施行されてからの18カ月間で、16万件の情報漏えいが当局に報告されていたことが明らかになった。報告された情報漏えいやその他のセキュリティインシデントの数は、増加傾向にあるという。
法律事務所DLA Piperの分析では、一般データ保護規則(GDPR)が2018年5月25日に施行されてから最初の8カ月間では、1日平均247件の情報漏えいが報告された。その後、件数は増加しており、現在では1日あたり平均278件になっているという。
DLA Piperが発表した調査レポート「GDPR Data Breach Survey」によれば、GDPR関連でこれまでに支払われた制裁金の合計額は、1億1400万ユーロ(約140億円)に達している。これまでに支払われた制裁金の最高額は、フランスのデータ保護当局である情報処理及び自由に関する国家委員会(CNIL)が、Googleの透明性とユーザーの同意に関する義務違反に対して科した5000万ユーロ(約60億円)だ。
英国の情報コミッショナー事務局(ICO)は、データ保護義務違反関連でさらに高額な制裁金を2件科しているが、どちらケースも支払いに関する最終合意には至っていない。
1件目は、2019年7月にBritish Airwaysに科された1億8300万ポンド(約260億円)の制裁金だ。このインシデントでは、サイバー攻撃によって約50万人分の顧客情報が盗まれた。
ICOは「広範囲にわたる調査」を実施した上で、情報はBritish Airwaysの「不十分なセキュリティ対策」が原因で漏えいしたと結論づけた。同社は当時、制裁金の金額に不服があることを明らかにし、「驚き、失望した」とコメントした。
2件目はそのわずか1日後で、ICOは、世界中の3億3900万人の宿泊客に関する個人情報を流出させたMarriott Hotelsに対して、9900万ポンド(約140億円)の制裁金を科した。
この情報漏えいは2014年にStarwood Hotelsが起こしたものだが、同ホテルチェーンは2016年にMarriott Hotelsに買収された。しかし、この情報漏えいインシデントは2018年まで発見されず、問題も修正されないままだった。Marriott Hotelsは、処分が通知された際に発表した声明で、提示された制裁金の金額に「深く失望した」と述べている。
Marriott HotelsとBritish Airwaysは現在、制裁金に異議を申し立てている。
GDPRでは、情報漏えいの発生後にセキュリティに関する過失が判明した場合、最大で世界的な年間売上高の4%の制裁金を課せられる可能性がある。ところが、GDPRを完全に順守している組織は、3分の1にも満たないとみられている。
サイバー法制やデータ保護を専門とするDLA PiperのパートナーRoss McKean氏は、これまでに科された制裁金の総額である1億1400万ユーロは、GDPR下で科される可能性のある制裁金の上限に比べ少額だが、これはまだ制度が運用され始めてから日が浅いからだと考えている。
同氏は、「2020年には、規制当局が制度の運用を強化していき、数百万ユーロ規模の制裁金が科せられる事例が増えると予想される」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。