【制裁金事例】ポルトガルのDPAが病院に40万ユーロの支払い命令

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

GDPR の処分事例が少しずつ出てきています。処分事例をモニタすることで、欧州のデータ保護当局の考え方について分析が可能となりますので継続的にフォローすることが大切です。

今日紹介するのはポルトガルの制裁金事例です。(2018年11月14日)

その病院には295名の登録医師がいましたが、900名の医師に対して、権限がないにもかかわらず患者のデータにアクセスすることを許していました。病院は保健省(Ministry of Health)に対し、政府提供のITシステムのセキュリティ不備について相談したことがなく、アカウント生成時のルールを作らない、患者データへのアクセスレベルの区別を設定しない、やめた医師のシステムへのアクセス権を停止していない、といった状態を継続していました。DPAは、病院が意図的に違法オペレーションを行っていたと結論付けました。

詳しくは以下のページをご覧ください。

【処分事例】ポルトガルのDPAが病院に40万ユーロの支払い命令