執筆者：弁護士　池辺健太

　NTTデータのスペイン子会社が、EUにおける個人情報の保護を求める規則に違反したとして、当局から処分を受けました（日経新聞が報じています。https://www.nikkei.com/article/DGXZQOUC09EYD0Z01C22A1000000/）。
　2018年から施行されているGDPRですが、公表されている例で、日系企業への処分は初めてのものです。

　取引先の顧客情報が漏洩した件に関して、6万4000ユーロ（約930万円）の制裁金を課されました。なお制裁金は、既に支払われたようです。

　NTTデータのスペイン子会社が顧客管理システムを提供する保険会社において、2021年8月、顧客情報が外部に漏洩する問題が起きました。これを受けてデータ保護当局は、同社を調査していました。
　データ保護当局は、上記スペイン子会社に対し、漏えいを防ぐためのセキュリティ対策等が不十分だった旨を指摘したようです。

　該当のスペイン子会社は、保険会社の代わりに（保険会社から依頼を受けて）、顧客管理システムに含まれる個人データを取扱っていたものといえます。
　こういった企業は、GDPR上の「処理者」にあたり、個人データ（個人情報）取扱いの主体である「管理者」とは区別された上で、個人データの保護につき厳格な義務が課されています。

　システム提供者にもこのように「処理者」として法の網がかかりますので、GDPRの適用においては、「自社は顧客管理システムを提供していたものに過ぎず、個人データを取扱っていない。個人データを扱っていたのは、あくまでもシステム利用者である。」と整理することはできません。システム利用者、システム提供者の双方に、厳しい規制が課せられています。

　特に取扱いの安全性、セキュリティ対策等については、以下のように規定がなされています。これは管理者及び処理者、双方の義務です。

最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。
(a) 個人データの仮名化又は暗号化
(b) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力
(c) 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力
(d) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順（GDPR Article32.1）

　EUの一般データ保護規則（GDPR）は、適用対象となる企業に、厳格な個人データ（個人情報）の管理を求めています。

　漏えい防止のためのセキュリティ対策の他に、データ取得時の利用者への十分な説明（プライバシーノーティス、Cookie取得にかかるポップアップ表示等）、個人データの削除請求等への対応や、現地代理人の選任などが必要になり、さらにデータ漏洩時には、原則として72時間以内と、極めて早急な報告が求められます。
　欧州に本社又は支店すらない企業であっても適用の可能性があり、GDPRへの違反は、制裁金の対象になります。

　当事務所のGDPRに関する取り組みについて、詳しくは以下をご参照ください。
【https://www.meilin-law.jp/gdpr/】