本記事では、2018年に施行された一般データ保護規則(以下、GDPR)や、つい先日改正されたばかりの個人情報保護法を参考に、世界中で今プライバシー保護が注目される背景と実際に企業に課された罰則などを解説します。
はじめに
最近、企業が個人情報の利用に関して行政から処分を受けるケースが増えてきています。
例えば、リクルートキャリアが自社サービスである「リクナビ」を利用し、取得した内定辞退率のデータを他社に販売していたことに対して、厚生労働省から法律違反だと指導を受けるという事件がありました。
このケースでは利用者から同意を得ていたのですが、仮に同意を得ていたとしても、そのデータがどのように利活用されるのかを明確にしないことによって問題が発生しました。同様のプライバシー保護関連の企業トラブルは数多く発生しています。
また、2018年にEUで施行されたGDPRでは、日本よりも厳しいプライバシー保護規則が設けられ、Googleなどのメガテックカンパニーも罰金を課せられていたりします。
以下、このプライバシー保護規則と規則内で設定されている罰則などについて紹介していきます。
一般データ保護規則(GDPR)とは
GDPRとは、EUにおいてにおいて2018年5月25日から施行されている、データ保護に関する取り決めのことです。
中でも、個人情報に関する取り決めが注目されています。
特に注意しておきたいのが以下の2点です。
- IPアドレスやCookieのようなオンライン識別子も個人情報とみなされる。
- 企業は個人情報を取得する場合、自らの身元や連絡先、処理の目的、第三者提供の有無、保管期間などについてユーザーに明記し、同意を得なければならない。
上記に書かれているように、IPアドレスやCookieなども個人情報とみなされ、取得の際にはユーザーの同意が必要となります。
また、これらの取り決めの適用対象は、以下となっています。
- EUに子会社や支店、営業所などを有している企業
- 日本からEUに商品やサービスを提供している企業
- EUから個人データの処理について委託を受けている企業
仮に短期的にEU圏内を訪れていたユーザーの個人情報を扱う状況であっても、取り決めを守らなければ罰則の対象となってしまいます。
GDPRに関する詳細は以下の記事にて解説しています。
個人情報保護法の改正とは
個人情報保護法とは、日本において個人の権利・利益の保護と個人情報の有用性のバランスを図るための法律です。
この個人情報保護法ですが、近年、国内で発生した出来事やGDPRのような海外の規制強化の流れを受け、2020年6月に改正案が可決されたばかりです。 改正法案の概要については下記記事にて解説しています。興味がある方はこちらも参考にしてください。
今回の改正で大きく変化した点は、以下の2点となっています。
- 個人情報の利用に「根拠」が求められるようになったこと
- 「個人関連情報」という新しい概念の導入
まず、個人情報の利用に「根拠」が求められるようになったことです。
これまでの法律では、利用規約の確認などによって利用者からの確認をとることができれば企業が利用目的に添った範囲内でその情報を扱うことが許されていました。
しかし、今回の改正によってその利用自体が「不適正」ではないかという検討をする必要性が発生しました。
次に、「個人関連情報」という新しい概念の導入です。
「個人関連情報」とは、パブリックDMP(データマネジメントプラットフォーム)のベンダが保有している属性情報などのことを指します。
この情報はDMPベンダが保有している限りでは個人と結びつくことはありませんが、サイト運営者が受け取って自社の会員情報と照合を行うと個人情報となるケースが存在します。
「個人関連情報」に関する詳細は、以下の記事にて解説しています。
今回の改正ではこれらの情報が「個人関連情報」となったことによって、提供先の第三者が、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の本人の同意が得られていることが求められることになります。
つまり、提供先の企業において本人からの同意を得る義務があるとともに、提供元においても、提供先の企業が同意を得ているかを確認する義務があることになります。
このように、日本国内においても、ブライバシー保護の重要性が高まってきています。
実際に発生した罰則の事例
高額制裁金の海外事例 (GDPRの罰金リストより抜粋)
- ブリティッシュ・エアウェイズ社の事例
2019年7月8日、顧客50万人の個人データが漏洩したとして、ブリテッシュ・エアウェイズ社がICOより、約1億8300万ポンド(当時の日本円換算で約250億円)の制裁金を科されています。
同社は2018年6月に始まったと見られるサイバー攻撃によって、Webサイトやモバイルアプリから予約や変更を行った約50万人の顧客のデータが不正に収集されていました。
このセキュリティ対策の不十分さが今回の罰則の理由となっているようです。 - マリオネット・インターナショナル社の事例
2019年7月9日、マリオット・インターナショナル社は全世界の顧客データ3億3900万件もの様々な顧客情報を流出させたとして、ICOより約9900万ポンド(当時の日本円換算で約139億円)の制裁金を科されています。
この事件もブリテッシュ・エアウェイズ社の事例と同様に、長期間にわたってサイバー攻撃をを受けていたことに気がつかず、ここまで被害が広まってしまったと考えられています。
こうしたデータのセキュリティを保護する義務を果たせていなかったことが罰則の適応理由となっているようです。
日本における事例
- 宇治市住民基本台帳データ大量漏洩事件
京都府宇治市の住民基本台帳のデータ約21万件が流出し、名簿業者によってインターネット上で販売された、という事件です。
この事件に対し、最高裁は宇治市に対して住民1人当たり1万円の慰謝料の支払いを命じました。
この事件は、当時、住民基本台帳のデータを使用して乳幼児検診システムを開発することを計画していた宇治市が、その開発業務を民間企業に委託したところ、その再々委託先のアルバイト従業員が上記データを不正に持ち出して名簿業者に販売したことによって発生しました。 - マイナンバー漏洩事件
JASDAQ上場の情報処理サービス会社、システムズ・デザイン株式会社で、マイナンバーを含む個人情報の入力作業を、許可なく再委託していた事件が発生しました。
本来、マイナンバーの無断再委託は禁止されています。この事件をきっかけに地方自治体においても同様の事件が発生したいたことが明らかになりました。
今回の事件に対して国税庁は同社と締結した契約を解除し、今後の競争入札の参加資格の停止しました。
なぜ、今プライバシー保護が注目されているのか
Googleも自社サービスのプライバシー保護に関する情報を明確に示しています。
一体、なぜこれほどまでに世界的にプライバシー保護が注目されているのでしょうか。
プライバシー保護が注目されるようになったきっかけとも言える出来事がありました。 それは、「忘れられる権利」という出来事です。
これは、あるスペイン人男性が自分の名前を検索した際に、過去のネガティブな出来事が出てきてしまうことについてGoogleを訴訟したことに対し、2014年に欧州連合司法裁判所(EUの最高裁判所)がその訴訟を認めた、という出来事でデータの正確さと個人としての権利を守ることが争われた、とも言えるこの事件の判決には、当時、世界中から注目が集まりました。
結果として、検索エンジンを運営していたGoogleがページの削除を行い、それ以降も240万件を超えるデータの削除に応じています。
日頃から自らの人権に対する意識が高かったEUならではの判決のように思えますが、世界的にもこの指針に従っていくことが予想されます。
まとめ
近年、様々なデータが集められるようになり、それが資産となることが徐々に判明してきたものの、逆に個人のプライバシーを脅かしかねない危険性も孕んでいるため、利用者はそれを適切に扱うことが求められます。
自身での扱い方だけでなく、他者にその内容を知られないためにも、今一度自分が取り扱っている情報の安全性や秘匿性を見直してみる必要があるかもしれません。
- GCPRではかなり厳しく情報保護のための取り決めが設けられている。
- 顧客のプライバシーを脅かすとして、行政から多額の罰金を求められた企業も多数存在する。
- 基本的人権を守るためにプライバシー保護を求める論調が強まってきた。
