news

GDPRの事例が見つかりました。

GDPRの事例が見つかりました。

こんばんは、システム部の細谷です。

 

日本企業でGDPRが適用されるという記事が出ていると連絡があったので確認いたしました。

経緯は追っていこうと思いますが、この件で日本企業側に何かしらの罰則が来る可能性は低いと考えています。

 

記事を確認してみましたが、ちょっと私が持っている情報がずれがあるので訂正しようと思います。

その前に事例をざっくりまとめると「ホテル予約サイトでデータ漏洩が発生してしまい、日本企業のホテルの宿泊客も漏洩の対象に入っていた」という事になります。

 

 

記事内ではホテルが「管理者」という扱いになっていますが、予約サイトという事は「データ主体」の人が個人情報を渡すのは予約サイト側になるのでこちらが「管理者」になります。 ホテルの方は「管理者からの委託先」になりますね。(私が該当企業のサービスを誤解している可能性がありますが、)

 

その上でまずはGDPRが適用されるかどうかですが、漏洩した企業は「管理者」且つ「EU加盟国に所属かつサービスを展開している」のでGDPRが適用されます。

ホテルも「委託先」なので適用範囲ですが、今回漏洩したのは「管理者」ですので、「連絡を受ける対象」ではありますが、罰則の対象ではありません。

 

 

今回違反した内容は「不正アクセスにより流出した(管理者の許可外の利用)」というのと「個人データを域外に展開した(外部持ち出しの禁止)」の2点です。

後者の方は日本はEUとGDPRのデータの展開先として提携しましたので大きな問題にはならないと思いますので。 不正アクセスの部分が罰則の焦点になると思います。

 

「発覚後速やかに関係者に連絡を取る」等の既定の対応をも行っているところから考えると、「警告」と「体制の見直し」で終わるのではないでしょうか?(個別に漏洩の保証はあるとは思いますが、GDPRとして罰金は発生しない。)

ホテル側の対応も、初の事例ですので念のための確認というのと「漏洩自体は発生したので、日本の法律に合わせて対応を行う」という部分が強いと思います。

 

 

要するに今回の件は「現地でGDPRに違反する事例があり、ルールに従って対応された」という事になりますので、 経過次第ですが、今回の件は完全に「現地のGDPRの適用例」で収まると思われます。

 

 

ただし、今回の日本のホテルは「管理者からの委託先」という事で「域外適用」の範囲ですので、 もし日本ホテル側が漏洩をしていた場合は本当に「日本企業にGDPRが適用されていた」可能性があったわけです。 記事内の結論も「あなたの企業はちゃんとGDPRを確認している?」という部分に焦点が当たっているので、 確認を進めておくことに越したことはありません。

 

また何かあれば展開しようと思いますので、気が向いたらチェックしてみてください。

それでは失礼いたします。