2022.06.02
GDPR法違反による制裁金が一番高い国トップ10– (2021年10月現在)| CookieFirst ブログ
GDPR法違反による制裁金額が一番高い国トップ10
一般データ保護規則(GDPR)は、欧州を代表する個人情報保護法です。2018年に施行され、それ以来、多くの企業がコンプライアンス違反で罰金を科せられています。他国と比較して、かなりの数の罰金を出している国もケースもあるようです。
例えば、スペインは273件の制裁を科し、GDPRの全罰則の3分の1近くをトップで占めています。一方、英国は規制の開始以来、わずか5件しか課していません。GDPR の制裁金を最も多く科した欧州の国々はどこか、引き続きご覧ください。
スペイン
スペインは、ヨーロッパ諸国の中で最も多くのGDPR法違法において罰金を課し、その数は273件と圧巻です。次点の国を200件も上回るほど多くの制裁金を課しています。
課した273件の罰金のうち、平均は118,000€(約1,600万円)強でした。現在までの罰金総額は32,440,810€(約46億円)。では、この壮大な額の罰金の中には、どのような企業が含まれているのでしょうか。
AEPD(スペイン現地のデータ保護を取り締まる組織)は、Vodafone Spainに815万€(約11億5,000円)、つまり972万ドルの罰金を科した。これは、マーケティング活動を通じてGDPRに違反したことが認められたためで、同国がこれまでに下した単一の罰金としては最大となった。個人データを合法的に処理するための十分な対策を講じなかったことで、適用される規制を遵守していなかったのです。
イタリア
GDPRに関連して2番目に多くの罰金を課した国は、イタリアです。75の個別罰金にわたって、84,493,770€(約120億円)という壮大な金額を企業に要求しています。平均が比較的低い他の国とは異なり、イタリアのGDPR罰金の平均は1,126,584€(約16億円)です。
例えば、イタリアのSA(イタリアのデータ保護組織)は、マーケティング目的のデータ収集および処理に関するGDPRの要件に違反したとして、Gruppo TIMに2780万€(約38 億円)の罰金を科しました。この違反は、同国の数百万人の個人に影響を与えたため、この罰金は非常に大きなものとなりました。
ルーマニア
ルーマニアは、GDPRの罰金を最も多く課した国の第3位にランクインしています。ルーマニアは、合計60件の罰金を課し、その合計額は699,550€(約1億円)に上ります。EUの他の国よりも多くの制裁金を科したものの、合計金額は比較的低く、1件あたりの平均は12,000€弱(約120万円)となっています。
最近では、World Class Romania S.A.(ルーマニアのフィットネス業界大手企業)がGDPR第32条に違反し、罰金として2,000€(約30万円)を支払うよう求められました。同団体は、元従業員の退職願を違法に掲載し、それが個人情報保護規定に違反していたという。
ハンガリー
次にハンガリーですが、43件の罰金を科し、合計で811,883€(約11億円)になります。ハンガリーのデータ保護当局(NAIH)が今まで課した罰金の平均額は18,881€(約260万円)です。
制裁措置のいくつかは、データ保持、情報管理、サイバーセキュリティをめぐるプロセスに関連しています。
ノルウェー
GDPRの制裁金が最も多い国トップ10で5位にランクインしたのは、31件の罰金を課されたノルウェーです。これらの制裁の中には、中国やその他の国の第三者への違法なデータ転送、そしてそのような取引を処理する法的根拠が無かった件などが含まれています。
合計31件の罰金は、合計で1,535,350€(約22億円)にのぼりました。
ドイツ
ドイツは、28件の罰金を課され、1件あたりの平均額は1,756,673€(約2億5,000万円)ユーロで、このリストに載っている他の国に比べるとかなりの差が確認できます。さらに、罰金総額は49,186,833€(約70億円)と、リストに掲載された他の多くの国よりも大幅に高くなっています。
注目すべきは、世界的に人気の高い小売業者であるH&Mのケースです。従業員を違法に監視していたことが発覚し、2020年に3500万€(約50億円)を超える罰金を科せられたのです。H&Mは会議の録音を利用して、家族の問題や宗教的信条といったプライベートな情報にアクセスし、それを雇用の判断材料にしていたのです。
スウェーデン
GDPRの罰金額が多い国トップ7にランクインしたのは、スウェーデンです。現在までに26件の罰金を科しています。その一つひとつはかなり大きなもので、平均は697,374€(約1億円)。同様に、罰金の総額は1800万€(約25億円)以上に達したということです。
最近、スェーデンで罰金を課されたのは医療機関であるカピオ・セントゴランである。監査により、不十分なアクセス制御、不適切なリスク管理評価などが発覚し、290万€(約4億円)の罰金を科せられた。
ベルギー
EUの他の国と比較すると、ベルギーはGDPR法に関する罰金の賦課で8位となっています。プライバシー規制違反で組織を告発し、結果として支払いを余儀なくされたのは、法律が制定されて以来、合計25回にのぼります。
これらの罰金の合計は1,018,000€(約1億4,000万円)で、平均制裁金は40,720€(約570万円)だったということです。
ポーランド
ポーランドは、GDPRを遵守しなかったとして、様々な組織に24件の罰金を課しました。これらの罰金を合わせると、合計で2,069,798€(約3億円)になります。
その中で最も注目すべき制裁は、ある企業が個人情報保護法で定められた透明性の要件を満たせなかったために、22万€(約3 ,000万円)の罰金を科したことです。この違反により、600万人以上の人が影響を受けました。
ブルガリア
最後に紹介するのはブルガリアで、GDPR関連の罰金を20件発行しています。これらの罰金の総額は3,210,690€(約4億5,000万円)で、その平均は160,535€(約2,300万円)となる。
注目すべきは、徴収された金額の大部分が、国税庁に課された1件の罰金であることです。500万人の住民に影響を与えるデータ漏洩が発生し、国税庁は260万€(約3億6,000円)を請求されたのです。氏名や納税情報などの機密データが流出し、ブルガリアのブルガリアデータ保護委員会(DPA)は、システムを保護するための措置が十分でなかったと判断しました。
その他のGDPR多額罰金
GDPRの罰金を最も多く出した国トップ10をご覧になって、この10カ国の国々は過去最大の罰則を網羅していると思われるかもしれません。しかし、過去最高額の罰金は、このリストに載っている国々では発生しませんでした。
プライバシー規制史上最大の罰金を課せられたのは誰もが知るEコマース大手アマゾンだった。ルクセンブルクのデータ保護国家委員会であるCNPDに、7億4600万ユーロ(約1,054億円)という途方もない金額の罰金を支払うことを余儀なくされた。アマゾンのオンライン小売業者は、市民の個人情報を不適切に処理したことで非難されたのです。
このリストに入らなかったもう一つの重要な罰金は、フランスのデータ保護当局(CNIL)がGoogleに課した件です。罰金額は総額5000万ユーロ(約70億円に相当)で、広告のパーソナライゼーションプロセスがGDPRの基準に違反したことを受けて科せられたものです。
-CookieFirst 引用