【処分事例】GDPR:British Airways £189.39mil の制裁金

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

大阪、東京で開催!

GDPR&世界のデータ保護法対応セミナー
~ ここでしか聞けない世界のプライバシー動向の最新レポート ~

大阪会場は申し込みを終了しました。東京会場はあと5席空きがあります。

日時:
大阪会場: 7月23日(火)13時 ~ 16時 
東京会場: 7月25日(木)13時 ~ 16時 

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年7月8日の報告です。欧州が騒がしくなってきました。

イギリスの監督機関ICOが2018年、GDPR施行直後に発生したBritish Airwaysでのデータ侵害に対して£189.39 mil、日本円にして257億4500万円もの制裁金を課す内示を出しました。GDPR以前に発生したケンブリッジ・アナリティカの件でFacebookに課せられたのは£500,000、日本円で約6,800万円に過ぎなかったことを考えると、このインパクトは非常に大きなものがあります。

British Airwaysの件では、2018年6月から偽サイトへの誘導によってユーザの詳細情報が刈り取られました。被害にあった顧客の数は50万名です。

“People’s personal data is just that – personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That’s why the law is clear – when you are entrusted with personal data you must look after it. Those that don’t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights.”

(人々の個人データとは個人的なものである。組織が損失、毀損、盗難の危害から護ることができなかった場合、それは「不都合」を超えたものとなる。その点で法律は明快だ。個人データを預託された者は、個人データについて十分なケアを行わなければならない。これに失敗した者は、私のオフィスによって、基本的人権であるプライバシー件を保護するために適切な手順を踏んだのか、詳細な調査を受けることとなる)

この件はICOが主監督機関として機能したケースでもあります。つまり、今回の制裁金は、加盟国単体で課せられた制裁金とは異なり、欧州全域でより普遍性をもつものとして捉えるべきものです。

GDPR、データ保護への欧州の姿勢の本気度が示されましたね。そして、一部のコンサルタントや弁護士が吹聴していたような、アメリカのIT企業のみを狙い撃ちにしたデータ保護法ではないことも、この件で明らかになったといえます。

追記:

今回はおそらく売り上げの2%のフレームでの制裁です。