はじめに
EUでは、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行された。
GDPRは企業の大小を問わず、「コンプライアンス違反」という失態に高額の罰金を科すことによって法令遵守の意識を高めることが目的とされている。
本記事では、GDPRの罰金の種類について触れた上で、今まで罰金を科せられた企業のリストアップを記載する。(定期更新)
GDPR罰金の種類
罰金の前提となるGDPRについての詳細は、以下の記事を事前に参照されたい。
GDPRには、特定の種の違反は他の種の違反よりも罰金が高額になると記載されている。
違反の程度が軽度な場合
罰金の額は最高1,000万ユーロ(日本円にして140億円程度)、あるいは前年度の会計における年間売上高の2%のいずれか高い方の額が罰金として科される。
以下の条文に対する違反が主な対象となる。
違反の程度が重度な場合
罰金の額は最高2,000万ユーロ(日本円にして280億円程度)、あるいは前年度の会計における年間売上高の4%のいずれか高い方の額が罰金として科される。
以下の条文に対する違反が主な対象となる。
GDPR罰金金額ランキング(1000万ユーロ以上)
以上を踏まえた上で、2018年よりGDPR罰金を科せられた企業一覧を、科せられた金額の多い順に記載する。
また、GDPRによって罰金が科されたケースを全てリストアップすると1600件以上に上るため、ここでは特に1,000万ユーロ以上の罰金が科されたもののみを取り扱う。
(引用元:https://www.enforcementtracker.com/)
| 罰金対象 | 罰金額 | 違反条項 | 決定日 | 制裁を科した当局 |
| Amazon Europe Core S.a.r.l. | 746,000,000ユーロ | 不明 | 2021/07/16 | ルクセンブルク |
| Meta Platforms, Inc. | 405,000,000ユーロ | 第5条 第12条 第24条 第25条 第35条 | 2022/09/05 | アイルランド |
| Meta Platforms, Ireland Ltd. | 390,000,000ユーロ | 第5条 第6条 第12条 第13条 | 2023/01/04 | アイルランド |
| Meta Platforms, Ireland Ltd. | 265,000,000ユーロ | 第25条 | 2022/11/25 | アイルランド |
| Whatsapp Ireland Ltd. | 225,000,000ユーロ | 第5条 第12条 第13条 第14条 | 2021/09/02 | アイルランド |
| Google LLC | 90,000,000ユーロ | GDPR条項では ないため割愛 | 2021/12/31 | フランス |
| Facebook Ireland Ltd. | 60,000,000ユーロ | GDPR条項では ないため割愛 | 2021/12/31 | フランス |
| Google Ireland Ltd. | 60,000,000ユーロ | GDPR条項では ないため割愛 | 2021/12/31 | フランス |
| Google LLC | 50,000,000ユーロ | 5条 6条 13条 14条 | 2019/01/21 | フランス |
| H&M Hennes & Mauritz Online Shop A.B. & Co. KG | 35,257,708ユーロ | 5条 6条 | 2020/10/01 | ドイツ |
| TIM | 27,800,000ユーロ | 5条 6条 17条 21条 32条 | 2020/01/15 | イタリア |
| Enel Energia S.p.A | 26,500,000ユーロ | 5条 6条 12条 13条 21条 24条 25条 30条 31条 | 2021/12/16 | イタリア |
| British Airways | 22,046,000ユーロ | 5条 32条 | 2020/10/16 | イギリス |
| Marriott International Inc. | 20,450,000ユーロ | 32条 | 2020/10/30 | イギリス |
| Clearview AI Inc. | 20,000,000ユーロ | 6条 12条 15条 17条 31条 | 2022/10/17 | フランス |
| Clearview AI Inc. | 20,000,000ユーロ | 5条 6条 9条 12条 14条 15条 27条 | 2022/07/13 | ギリシア |
| Clearview AI Inc. | 20,000,000ユーロ | 5条 6条 9条 12条 13条 14条 15条 27条 | 2022/02/10 | イタリア |
| Meta Platforms, Ireland Ltd. | 17,000,000ユーロ | 5条 24条 | 2022/03/15 | アイルランド |
| Wind Tre S,p,A. | 16,700,000ユーロ | 5条 6条 12条 24条 25条 | 2020/07/13 | イタリア |
| Vodafone Italia S.p.A. | 12,251,601ユーロ | 5条 6条 7条 15条 16条 21条 24条 25条 32条 33条 | 2020/11/12 | イタリア |
| Notebooksbilliger.de | 10,400,000ユーロ | 5条 6条 | 2021/01/08 | ドイツ |
| Google LLC | 10,000,000ユーロ | 6条 17条 | 2022/05/18 | スペイン |
まとめ
GDPRの罰金の種類を、主に二種類にわけてまとめた。
- 軽度な違反
- 罰金は1,000万ユーロ/組織の前年度売上の2%のいずれか高いほうが適応される。
- 対象となる条文は認証機関、管理機関の制定に関するものが主
- 重度な違反
- 罰金は2,000万ユーロ/組織の前年度売上の4%のいずれか高い方が適応される。
- 対象となる条文はユーザーの権利に関するものが主
また、現在罰金額の記録の上位を占めているのはAmazon, Meta, Whatsapp, Facebook, Googleといった大手IT企業が主となっている。
