協力的に応じる

99.9%でおとがめなしであるのなら、最初から通知する必要はないのではないだろうか? 実際、データ保護監督当局には同様の問い合わせも一定数あるそうだ。

そのため、2021年1月にEDPB(European Data Protection Board:欧州データ保護会議)からガイダンスが公表されている。このガイダンスについては後述するが、実際にGDPRの適用される企業ではどのような対応を取っているのか、特徴的な事例を2つほど見ていこう。

2018年に米ソーシャルメディアの Linkedin社に対して、同社の個人データ処理に関する苦情の申し立てが発生した*3。当時、GDPR施行後初の米IT企業に対する制裁となるのではと注目された件だ。

なお、ここで一点留意していただきたい点は、同社でデータ侵害が発生したというわけではないということ。GDPRでは苦情の申し立てを起こす権利がデータ主体に認められており、それを行使してアイルランドの監督当局(DPC)に対し苦情の申し立てを起こされたという形だ。

同社ではこの苦情の申し立てに対して、原因となった個人データの処理を停止するとともに、GDPR施行前の個人データも削除するなど、いくつかの取り組みを実施した。また、技術的および組織的対応が講じられていることを検証するために、監督当局の監査も受け入れている。

このように同社では自発的に行動し、誠意ある対応を示したということで、制裁金などは科されていない。

次に、2019年に40万人以上の顧客に影響を与えるデータ侵害が発生した、英航空会社のブリティッシュ・エアウェイズを見ていこう。同社に対して、2020年10月に英国の監督当局(ICO)から2,000万ポンド(およそ30億円)の制裁金が科されることが公表されている*4。ただし、この制裁金額に対してはある要因が大きく作用し、600万ポンド(およそ9億円)もの制裁金減額がなされた後のものだ。

その決め手となった要因について説明する前に先にお伝えしておくと、新型コロナウイルスの感染拡大に伴う売上減を考慮したものではない。売上減を考慮して減額された制裁金はおよそ5%ほどである。

これだけ大きく制裁金が減額された要因は、影響を受けるデータ主体と監督当局に対して迅速に通知し、監督当局からの問い合わせに対して全面的に協力してきたことが評価されてのことである。

さらに、データ主体に対しては被る損害を軽減および最小化するための措置も取っている。具体的には、カード情報窃取に伴う金銭的損失への補償や、無償での信用調査提供などである。また、同社による通知は114ページにも及ぶものであったが、72時間以内の通知を速やかに行うためにも日頃からの行動計画やトレーニングなどの備えがあったことも容易に想像がつく。

これら2つの事例から見えてくることは、監督当局に対して協力的に応じることができたかどうかということが結果に大きく左右してくるということ。そのため、監督当局への通知は速やかに行われるべきものである。

ただし、制裁金が科されなかった、もしくは制裁金が減額されたとは言え、影響を受けるデータ主体への対応や補償などには費用が発生している。また、個人データの削除を行えば機会損失なども伴うことだろう。その影響は大きい。