■2025年3月19日

2024年に、海外のデータ保護局が制裁金を科した事案をいくつかご紹介いたします。

 

①2024年3月7日

 イタリアのデータ保護局(Garante)は、2018年にUniCredit銀行で発生したデータ侵害に関して、同銀行からセキュリティ対策を受託していたNTT Data Italia(NTTデータの現地子会社)に対し、

 

  • GDPRにおいて義務付けられているデータ侵害から72時間以内の対応を怠ったこと
  • UniCredit銀行はNTT Data Italiaとの契約において明示的に第三者への再委託を禁止していたにもかかわらず、事前に銀行の承認を取ることなく第三者に再委託していたこと

 

から、80万ユーロの制裁金を科すと発表しました。

 

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9991101

 

②2024年8月26日

 オランダのデータ保護局(DPA)は、Uberが、2年以上にわたり、欧州のタクシードライバーの個人データを、適切な保護措置を講じることなく米国に転送していたことが、GDPRの重大な違反に当たるとして、Uberに対し2億9000万ユーロの制裁金を科すと発表しました。
 調査の端緒は、170人以上のフランス人ドライバーがフランスの人権団体に苦情を申し立てたことであり、申立を受けた同団体がフランスのデータ保護局(DPA)にその苦情を提供したことを受けて、Uberの欧州での本拠地であるオランダのデータ保護局(DPA)による調査が開始されました。

 

https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us

 

 

③2024年9月26日

 アイルランドのデータ保護委員会(DPC)は、メタ社が、2019年1月にFacebook Liteユーザーのパスワードが暗号化されていない状態の「プレーンテキスト」で保存され、社内従業員がアクセスできる状況となっていたことに関して、個人データ侵害に該当し、また、それがGDPRの条項に違反したとして、制裁金を科すと発表しました。
 データ保護委員会(DPC)は、メタ社が、

 

  • 2019年1月31日にパスワードがプレーンテキストとして保存されていることが発覚してから72時間以内にデータ保護委員会(DPC)に遅滞なく通知しなかった報告義務違反に関して800万ユーロの制裁金
  • 019年1月7日と31日に発覚した個人データ侵害について、それぞれ正式なリスク評価や文書化を行わなかった記録義務違反に関して800万ユーロの制裁金
  • リスクに適したセキュリティレベルを確保するための適切な技術的及び組織的対策を実施しなかったことについて7500万ユーロを制裁金

 

を科しました。
 調査の端緒は、メタ社が2019年3月にデータ保護委員会(DPC)に対し通知したことであり、それにより同年4月、データ保護委員会(DPC)が職権による調査を開始しました。

 

https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/inquiry-into-meta-platforms-ireland-limited-september-2024#MetaMeta-Decision-Summary-IN-19-4-1-EN.pdf

 

④2024年10月24日

 アイルランドのデータ保護委員会(DPC)は、ビジネス人向け交流SNSであるLinkedInに3億1000万ユーロの制裁金を科すと発表しました。

 問題となった個人データには、LinkedIn のメンバーから直接提供されたファーストパーティデータ と、メンバーに関連して第三者から取得されたサードパーティデータが含まれていましたが、アイルランドのデータ保護委員会(DPC)は、LinkedInが、

 

  • 行動分析やターゲット広告の目的でのメンバーの第三者データの処理に関する同意が、自由に与えられたものではなく、十分な情報提供がされておらず、具体的でも明確でもなかったとしてGDPR 第 6 条 (1) (a) (同意) に正当に依拠しなかったこと
  • 行動分析やターゲット広告を目的としたメンバーの個人データの処理、または分析を目的とした第三者データの処理に関して、LinkedInの利益がデータ主体の利益と基本的権利と自由よりも優先されたため、GDPR 第 6 条 (1) (f) (正当な利益) に正当に依拠しなかったこと、
  • 行動動分析やターゲット広告を目的としてメンバーの個人データの処理に関して、GDPR第6条(1)(b)項(契約上の必要性)に正当に依拠しなかったこと
  • そのほか、GDPR第13条(1)(c)および第14条(1)(c)(情報提供の透明性)、GDPR第5条(a)(公平性の原則”の違反)があることを認定しました。

 

 調査の端緒は、フランスの非営利団体がフランスのデータ保護局(DPA)に申し出た苦情が、LinkedInの主監督機関としての役割を担うアイルランドのデータ保護委員会(DPC)に提供され、2018年8月にアイルランドのデータ保護委員会(DPC)による調査が開始されました。

 

https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million

 

 

⑤2024年12月18日

 オランダのデータ保護局(DPA)は、Netflixが、2018年から2020年の間に同社が顧客に対し、顧客の個人データをどのように扱っているかについて十分な情報を提供しておらず、また、提供している情報も不明瞭な点があったことを認定し、Netflixに対し、475万ユーロの制裁金を科すと発表しました。

 調査の端緒は、プライバシー保護に取り組むオーストリアの団体がオーストリアのデータ保護局(DPA)に苦情を申し立て、オーストリアのデータ保護局(DPA)から、Netflixの欧州本社があるオランダのデータ保護局(DPA)に当該苦情が提供されたことで、オランダのデータ保護局(DPA)による調査が開始されました。

 

https://www.autoriteitpersoonsgegevens.nl/en/current/netflix-fined-for-not-properly-informing-customers

 

 

弁護士 小柳 美佳