15 情報セキュリティ, 個人情報保護法, 外国法

今回は、GDPR違反に関し、比較的初期のものでかつ確定したものを中心に、執行事例を紹介・解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

I 米Googleへの制裁金決定 (2019年1月）

II British Airwayに対する制裁金通告（2019年7月）

III マリオットに対する制裁金通告（2019年7月）

IV その他の事例

I 米Googleへの制裁金決定 (2019年1月）

(a)概　要

2019年1月21日、フランスの個人データ保護監督機関CNILは、GDPRに基づきGoogle LLC（「米Google」）に5,000万ユーロ（現在約70億円）の制裁金を課す決定（以下「本決定」）をした^[1]。なお、制裁金の賦課も監督機関の権限の一つである(58(2)(i))。

本決定に対し米GoogleはConseil d’Etat（仏行政最高裁判所)に不服申立したが、Conseil d’Etatは、2020年6月19日に、本決定を支持する判決を下し、本決定は最終確定した。[2] 本件は、GDPRが実際にどのように運用されるのかという観点で示唆に富む。以下にGDPRの関係条項、決定の概要及び企業実務への示唆を記す。

(b)経　緯

データ主体（本人）は、その個人データがGDPRに違反して処理されている場合、EU加盟国の監督機関に苦情を申立てることができ (77)、申立ては非営利団体に委任することもできる (80) 。

2018年5月、CNILは、この委任を受けた二団体から、Googleのサービス（Google検索, Gmail, YouTube, Google Map, Google Analytics等）に関するPrivacy Policyを問題とする申立を受理した。

【日本企業への示唆】このように、監督機関による調査の端緒の一つはプライバシー活動家を中心とする団体からの申立であることが分かる。また、Privacy Notice/Policy、Cookie Notice等、外部からでも目に付きやすいものが活動家の攻撃対象となり易いと思われるから、これらのGDPR遵守を確実に行っておくことが重要である。

(c)主管監督機関（ワンストップ・ショップ・メカニズム）

管理者が複数加盟国で行う個人データの処理については、当該管理者の「主たる拠点」（main establishment）があるEU加盟国の監督機関が主管監督機関（lead authority）となり、管理者はその主管監督機関にのみ対応すればよい (4(16), 56(1),(6)) （「ワンストップ・ショップ・メカニズム」）。

ここで、「主たる拠点」とは、複数加盟国に拠点（子会社を含む）を有する管理者については、原則として、EU域内の管理者の統括管理部門がある拠点を意味するが、当該部門は問題とされている個人データの処理の目的及び方法を決定する権限を有してなければならない（4(16), 前文36, 「主管監督機関決定ガイドライン」2.1）。

本件では、EU域内向けサービスに関連して行われる個人データ処理について、その目的と方法を決定しているのは、米Googleであって、その欧州統括拠点たるGoogleアイルランドではないと認定された。

従って、米Googleは、「ワンストップ・ショップ・メカニズム」が適用されるための「主たる拠点」をEU加盟国内に有していないことになる。その結果、本件処理については関係加盟国の監督機関全てがそれぞれ管轄権を有し(55, 57(1)(f))、本件申立についてはCNILに管轄権があるとされた。

「主管監督機関決定ガイドライン」においては、企業が複数加盟国で行う個人データの処理について、EU域内のいずれの拠点もその目的と方法の決定を行っていない場合、当該企業がワンストップ・ショップ・メカニズムの恩恵を受けるには、いずれかの拠点を、当該決定の実施(implementation)権限を有しかつ当該処理に対して責任を有する「主たる拠点」として指名しなければならないとされている(2.2)。

逆に言えばそのような実施権限・責任の移管を行えばEU域内の拠点が「主たる拠点」と認められ、同メカニズムの恩恵を受けることができると思われる。

なお、Googleの発表によれば、2019年1月22日から、本件サービスの提供者が、従来の米GoogleからGoogleアイルランドに変更され、かつ、そのユーザの情報について後者が法的責任を負う管理者になるとされている。これは本件処理の目的と方法の「決定」権限自体をGoogleアイルランドに移管するということであろう。

【企業実務への示唆】日本の会社（親会社）がEU域内に一または複数の子会社を有しその内1社を欧州統括子会社としていても、問題の個人データの処理の目的と方法を決定しているのが親会社であれば、「ワンストップ・ショップ・メカニズム」の恩恵を受けることはできない。

この場合、この恩恵を受けるためには、(i) 「主管監督機関決定ガイドライン」に書かれているように当該「決定の実施」権限と当該処理に対する責任をいずれかのEU子会社に移管するか、(ii) Googleのように当該「決定」権限自体をEU子会社に移管しなければならない。

(d)CNILが認定したGDPR違反

a)透明性（情報提供）に関する違反

本件は、GoogleがAndroidスマートフォン等のユーザ（データ主体）から（直接）取得する個人データに関する事案であるから、GDPR第13条により管理者がデータ主体に提供すべき情報が問題となる（第14条は間接取得の場合）。

そして、第12条によれば、管理者は、これらの情報を、明確かつ平易な言葉 (clear and plain language) を用い、簡潔で(concise)、透明性があり(transparent)、分かり易く(intelligible)かつ情報を見つけ易い (easily accessible) 態様で提供しなければならない。

CNILは、次の通り述べて、Googleアカウント設定時にユーザに提供される情報は、第12条及び第13条に違反すると認定した。

(i)個人データの処理目的、保存期間、ターゲティング広告（ユーザのサイト閲覧履歴等に基づきソフトウェアにより推測された興味・関心等に的を絞った広告）（CNILの表現では"personalized ad"）に利用される個人データ等の基本的情報が、ボタンまたはリンクを複数回（情報によっては5・6回）クリックしなければ見ることができず、複数のドキュメント（モバイル機器で表示される画面）に分散していた（従って情報が見つけにくい）。

(ii)一部情報については明確性と網羅性が欠けているため処理範囲を容易に理解できない（従って分かりにくい）。

(iii)個人データを利用するサービスの数（約20）、対象個人データの量と内容から、その処理は大規模でプライバシー侵害度が高い（から、より厳格な遵守が要求される）。

(iv)処理目的及び対象個人データのカテゴリーの記載が一般的で曖昧である（従って明確な言葉による情報提供と言えない）。

(v)一部個人データには保存期間に関する情報が提供されていない（提供情報の欠如）。

【企業実務への示唆】上記のようなことを避けるためには、可能な限り、「透明性に関するガイドライン」に従い、情報の網羅性、一覧性、表現の明確性・具体性に留意し、また、処理のリスクに応じ、Privacy Notice/Policyを作成し又は見直すべきである。

b)ターゲティング広告に関する同意要件違反

GDPR上、個人データの取得その他全ての処理についてデータ主体の同意その他所定の適法性（lawfulness）の根拠が要求されている (6)。

このデータ主体の「同意」は、言葉又は明確な積極的・能動的行為による (by a statement or by a clear affirmative action) 、自由意思による (freely given) 、目的別の(specific)、適切な情報を与えられた上での (informed)、曖昧さのない(unambiguous)同意でなければならない (4(11))。

米Googleは、ターゲティング広告のための個人データ処理についてユーザの有効な同意を得ていると主張した。これに対し、CNILは、次の理由から、その同意は上記要件を満たさず無効であると認定した。

(i)「同意する」のチェックボックスに予めチェックが付いている（従って能動的行為による同意とも曖昧さのない同意とも言えない）。

(ii)ユーザは、アカウント作成前に、サービス利用規約やPrivacy Policyに「同意する」のチェックボックスにチェックを付けなければならない。同意の対象はGoogleによる全ての個人データ処理の目的である（従って、自由意思による同意とも目的ごとの同意とも言えない）。

(iii)処理に関する情報が複数ドキュメントに分散しており処理の範囲を容易に理解できない。例えば、「ターゲティング広告」の記載から、これに関係するサービスが複数あることや対象の個人データの量を理解することは容易でない（従って適切な情報を与えられた上での同意とは言えない）。

【企業実務への示唆】上記のようなことを避けるためには、「同意に関するガイドライン」に従い各要件を満たす形で同意がなされるよう設計すべきである。

(e)行政制裁金

GDPR上、管理者が、GDPRの透明性（情報提供）や同意（5～7）の要件に違反した場合、監督機関は、2,000万ユーロまたは管理者の所属する「一事業体」（"an undertaking"）の前会計年度の全世界売上高の4%のいずれか大きい額を上限として、行政制裁金を課すことができる(58(2)(i), 83(5)(a), 制裁金ガイドラインII-2) 。

本件では、2,000万ユーロを超える5,000万ユーロの制裁金が課されているから、上限としては米Google（またはその親会社であるAlphabet Inc.）傘下の企業グループの前会計年度の全世界売上高の4%を適用したことになる。

【企業実務への示唆】上記のようにデータ主体に対する情報提供とそれに基づく同意取得の態様は、それらがGDPRに違反すると認定された場合その企業グループの全世界売上高の4%の上限が適用される可能性があるから、特にオンライン上の個人データ取得ではPrivacy Notice/Policyとこれに基づく同意取得方法（実務的には同意の要請方法）の内容と設計については、本件で指摘された点を含め、「同意に関するガイドライン」も踏まえ、十分な検討と見直しが必要である。

page top

II British Airwayに対する制裁金通告（2019年7月）^[3]

2018年9月、英航空大手British Airways（以下「BA」という）のWebサイトやスマートフォンアプリで航空券の予約手続きをした顧客のクレジットカード情報を含む個人データがサイバー攻撃により盗まれる事件が発覚した。

2019年7月8日、本事件について主任監督機関となった英国ICOは、GDPR違反の制裁金として、1億8,939万ポンド（現在約313億円）の制裁金を課す意向である旨の事前通告を発行した。

BAは、ICOから通告された調査結果および制裁の案について、ICOに対し意見表明することができ、実際、BAは、制裁金額等に関する異議等を意見表明した。

2020年10月16日、ICOは、最終通告を発し、英国の国内法であるData Protection Act 2018 (DPA)（2020年1月31日の英国のEU離脱と同時に成立したいわば「英国版GDPR」）に基づき、当初の制裁金額を大幅減額して2,000万ポンド（現在約33億円）の制裁金を科した。

この大幅減額の原因には、(i)ICOが制裁金額決定に当たり、まだ内部の案に過ぎない売上高区分に基づく制裁金決定基準を採用し、このことをBAの申立において非難されたこと（同基準は最終通告では不採用）、および、(ii)ICOが新型コロナウィルスにより航空業界が大きな経済的打撃を受けたことを考慮したことが含まれると思われる。

【IOCによる認定内容】

サイバー攻撃の攻撃者は、約43万人のBAの顧客および従業員の個人データ（顧客約24万人の氏名/住所/クレジットカード番号とそのセキュリティコードが含まれる）等にアクセスした可能性がある。

BAは、例えば、以下のような、過大なコストや技術的障壁を伴わない措置を予め講じることにより、本件攻撃を防止または軽減できた可能性がある。

(i)アプリケーションソフトウェア、データ等へのアクセスを必要なものだけに制限すること、

(ii)サイバー攻撃を想定したテストを行うこと、

(iii)アカウントを多要素認証により保護すること、等。

BAは、攻撃によるデータ侵害ついて、その開始から2カ月以上後に第三者から警告を受けて初めて認識。但し、データ侵害認識後速やかにICOに通知した。

【企業実務への示唆】上記のような事前の侵害予防措置の実施、データ侵害認識後の速やかな監督機関への通知および協力等が重要である。

page top

III マリオットに対する制裁金通告（2019年7月）^[4]

2018年11月、世界的なホテルチェーンのMarriott International, Inc.（以下「マリオット」という）は、「シェラトン」や「リッツ・カールトン」などのホテルを展開する傘下スターウッド・ホテルズの予約データベースがハッカー攻撃を受け、顧客の個人データが大量に漏えいした可能性があると発表した。

後に判明したところによれば、漏洩したデータには、パスポート番号、一部顧客のクレジットカード番号と有効期限 (カード番号は暗号化されていたが暗号化キーも漏えいした可能性あり）等も含まれていた。

2019年7月9日、本事件について主任監督機関となった英国ICOは、GDPR違反の制裁金として、99,200,396ポンド（現時点で約164億円）の制裁金を課す意向である旨の事前通告を発行した。

マリオットは、ICOから通告された調査結果および制裁の案に対し異議等を意見表明した。

2020年10月30日、ICOは、最終通告を発し、Data Protection Act 2018 (DPA)に基づき、当初の制裁金額を大幅減額して184万ポンド（現在約30億円）の制裁金を科した。

この大幅減額の原因には、上記(2)のBritish Airwayと同様、内部制裁金決定基準案の不適切採用と新型コロナウィルスによる経済的打撃への配慮が含まれると思われる。

【IOCによる認定内容】

漏えいした顧客データは、約3億3,900万人の世界中の顧客の個人データであり、その内、EEA31か国では約3千万人、英国居住者約700万人である。

スターウッド・ホテルズの予約データベースシステムへのハッカー侵入は2014年から始まったと考えられる（但しマリオットへの制裁対象は2018年5月25日のGDPR施行以降分のみ）。

その後2016年に、マリオットは、スターウッドを買収したが、顧客データ漏洩は2018年まで発見されなかった。

GDPR上[第32条等]、企業は、他の企業の買収の際、個人データに関しても適切なデューデリジェンス（買収前調査）を実施し、買収で取得する個人データの内容だけでなくそのセキュリティーも調査しなければならない。

しかし、マリオットはスターウッド買収時に適切なデューデリジェンスを実施せず、また、システム保護のためになすべき改善も行わなかった。

マリオットはICOの調査に協力しており、この事件発覚後、セキュリティーを改善した。

ICOは以下の点を主なセキュリティ確保義務違反として認定した。

(i)侵害を検知できたであろう特権アカウント（情報システムに対する全ての操作権限を有する管理者用アカウント）の監視が不十分であったこと、

(ii)データベースの監視が不十分であったこと、

(iii)予防措置として、ホワイトリスト（正常な通信以外は不正な通信としてブロック）等によりサーバのセキュリティ向上（脆弱性を減少化）を実施しなかったこと、

(iv)一部のパスポート番号等を暗号化しなかったこと

【企業実務への示唆】企業買収の際、買収企業は、被買収企業の個人データ管理体制についても、適切なデューデリジェンスを実施し、また、その体制に不備があればこれを改善すべき義務があること、買収企業は、これを行わなければ、買収後、GDPR違反として制裁金を課される場合があることが明らかとなった。

企業としては、他の企業を買収する場合、ITデューデリジェンスの一環として、個人データ保護という観点から、そのセキュリティー上の問題の有無も調査し、要改善事項があれば、買収後これを改善しなければならない。

また、上記のようなセキュリティ措置を実施しなければならない。

page top

IV その他の事例

CMS（英国を本拠とする法律事務所）のWebサイト「GDPR Enforcement Tracker」では最新の事件までの事例が網羅的した一覧表が掲載されている。

これで、おおよその傾向を把握することができるであろう。

page top

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF

“China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[5]

【注】　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

^[1] 【仏CNILによる米Googleへの制裁金決定】　EDPBサイト　"The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC" 21 January 2019

[2] 【フランス行政最高裁判所(French Administrative Supreme Court)による判決】 (参考) Gibson, Dunn & Crutcher LLP "GDPR Update: French Administrative Supreme Court Upholds 50 Million Euro Fine Against Google LLC" June 23, 2020

^[3] (参考) (1) EDPBサイト "Intention to fine British Airways £183.39m under GDPR for data breach" 8 July 2019, (2) ICOサイト"ICO fines British Airways £20m for data breach affecting more than 400,000 customers" 16 October 2020, (3) Mark A. Prinsley, Oliver Yaros, Valerie Vanryckeghem, Reece Randall, Ondrej Hajda "British Airways ultimately fined £20m for personal data breach by the UK ICO under the GDPR (reduced from £183.39m)"　October 19, 2020, Mayer Brown, (4)RPC - Oliver Bray "British Airways slapped with biggest ever fine for data breach" January 15 2021, (5) Macfarlanes LLP - Anne Todd "Lessons we can learn from the ICO’s decisions to reduce the BA and Marriott GDPR fines" November 3 2020, Lexology

^[4] 【マリオット事件】　（参照用）(1) EDPBサイト "Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach" 09 July 2019 (2) ICOサイト "ICO fines Marriott International Inc £18.4million for failing to keep customers’ personal data secure" 30 October 2020. (2)

[5]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録