ついに日本企業にGDPR違反、個人情報漏洩が制裁の理由ではない

日本企業初の制裁金か──。2022年11月初旬、欧州連合（EU）のGDPR（一般データ保護規則）に違反したとして、通信事業者であるNTTデータの海外子会社に6万4000ユーロ（約900万円）の制裁金が課せられたとの報道があった。単なる偶然ではあるが、筆者は今年中に日本企業の海外子会社や関連会社がデータプライバシー法規制の制裁対象となると予測していたため、驚きというよりは「ついにきたか」というのが率直な反応だった。今後、同様に日本企業が制裁対象になる案件が次々に出てくる可能性がある。

2021年のGDPRによる制裁件数は400件超

GDPRは2018年5月に施行されたデータプライバシーに関する規制で、個人情報の主体の権利を守るためにEUが制定したものだ。日本国内にも個人情報保護法があるが、ヨーロッパ圏内のデータプライバシーに対する「温度感」は日本人には理解し難いものかもしれない。これから佳境を迎えるサッカー2022 FIFAワールドカップでも、人権問題を理由に海外では開会式の放映や現地での試合観戦のボイコットなどの動きが起きている。人権に対する意識はヨーロッパでは特に高く、データプライバシーに関する主体の権利も例外ではない。筆者も英国在住時にその高さを実感し学んだ。

2018年の施行時には大きく話題になったが、それ以後、日本国内でGDPRが話題になることはほぼなかったのではないだろうか。しかし、このコロナ禍で数多くの制裁案件が出てきており、ある統計データでは2021年の1年間でGDPRによる制裁件数は400件を超え、1件あたりの平均制裁額は約286万ユーロ（約4億円）と高い水準にある。このことからも、監督当局の本気度をうかがい知ることができる。その背景には5億人の個人情報を流出させた事案に関連してFacebook（フェイスブック）を運営する米国Meta（メタ）に約380億円の制裁金が最近課せられたように、高額の制裁案件が数多く発生していることがある。

日本企業が制裁対象となる3つの理由

なぜデータプライバシー関連の法規制の制裁対象になる日本企業が、今後次々に出てくる可能性があるのか。その理由の1つは「世界的なトレンド」だ。GDPR施行以後、データプライバシー関連の法規制厳格化の動きが世界各地で顕著になっている。