見出し画像

【データ法】直近1年間の英国データ保護当局による処分事例(制裁金)のまとめ

弁護士 古田 俊文 (toshful)

こんにちは。
お読みいただきありがとうございます。

本日は、ICOが直近1年間で課した制裁金について、まとめてみます。

ぼくは、昨年末にX(Twitter)を始めて以来、イギリスのデータ保護当局であるInformation Comissioner’s Office(ICO)をフォローしているのですが、タイムラインに流れてくる彼らのポストを見て、「こいつら、いつも制裁金課してやがる、、。」と思っていました。

他方で、日本の当局である個人情報保護委員会は、所管する法令が少し違い、また、日本で事業者が受けるのは罰金(刑事罰)であり制裁金(行政罰)ではないとはいえ、これまで彼らに金銭的なペナルティが科された事例は、0件です。

このように、ICOは、制裁の賦課かなり積極的と言えますが、実際にどういう違反に対して、どの程度の制裁を課しているのか、今まで断片的にしか見てきませんでした。

そこで、今回は、期間を区切って(2023年4月1日~2024年3月31日)、ICOが事業者に課した制裁金について、分析してみようと思います。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

サマリー

ICOは、対象期間中、事業者等に対して、合計で23件、総額で14,990,000ポンド(≒28.5億円)の制裁金を課しました。

もっとも、この金額のほとんどは、昨年4月にTiktokに対して課した12.7百万ポンドであり、その他の事例は3~35万ポンドのレンジに収まります。

違反の内訳は次のとおりです。

UK GDPR:2件
PECR(電話マーケティング):13件
PECR(電子メールマーケティング):8件

圧倒的に、PECRの違反が多いですね。
補足すると、PECRとは、EUのePrivacy指令に基づきEU加盟国時代に制定された通信・プライバシーに関する法令であり、クッキー規制、ダイレクトマーケティング規制をその内容に含むものです。もう少し詳しい話はこちらに書いていますので、良ければご覧ください。

以下では、違反内容ごとに、処分事例をまとめていきます。

UK GDPR違反

Tictok Inc and Tiktok Infromation Technologies UK Limited

処分日:2023年4月4日
制裁金額:£12,700,000
違反:UK GDPR 8条、12条、13条、5条(1)(a)

コメント
去年の処分事例のハイライトですね。

主な処分事由は、140万人を超える13歳未満の児童が、Art 8に反して、保護者の有効な同意なしにTikTokを利用していたことです。

ちなみに、この12.7百万ポンドという制裁金は、2020年のBritish Airways(20百万ポンド)、Marriott Hotels(18.4百万ポンド)に次ぐ、歴代3位の金額です。上位2つの事例は、サイバーインシデントによる個人情報漏洩を理由とするものですので、事業者のビジネスがデータ法に違反するという理由での制裁金としては、過去最大のものです。

Ministry of Defence

処分日:2023年12月7日
制裁金額:£350,000
違反:UK GDPR 5条(1)(f)

コメント
なんと、ICOが、中央行政機関であるMoD(英国防衛省)に対して、制裁金を課した事例です。

事案としては、MoDが、避難対象となっているアフガニスタン国民245名に対して、本来Bccで送信すべき電子メールを、Toで送信したため、受信者全員が他の244名の電子メールアドレス、及び、一部の者のサムネイル写真にアクセスできる状態にしてしまったというものです。ICOは、完全性及び機密性の原則(Art 5(1)(f))に違反すると判断しました。

ただ、これ謎なんですが、仮にMoDに制裁金を課したとしても、彼らの活動原資は税金であり、別にMoDの財布にダメージがあるわけじゃないですよね。ICOがこの処分に際して支出した活動資金も税金がもとになっていると思うので、結局、納税者が損することになるのでは、、?

PECR(電話マーケティング)違反

全部の事例について、ICOの制裁金通知を読めていないのですが、ほぼ全ての違反が次のものです。

まずは、TPS(Telephone Preference Service)に登録された番号に対して、承諾なしに電話でのダイレクトマーケティングを行うことです(*1)。

TPSとは、電話でのダイレクトマーケティングを望まない個人が、ICOに対して所定の手続を経ることで、その番号をICOが管理する台帳に載せることができる仕組みで、電話でのダイレクトマーケティングを行なおうとする者は、その番号がTPSに登録されていないことを確認しなければなりません。

登録を行う個人はレアですが、違反事例はだいたい数十万の電話をかけているので、TPSを確認せずに電話をかけると、そのレアな登録者にあたってしまうというわけです。

次に、電話でのダイレクトマーケティングに際しては、相手方に対して氏名等の情報を伝える必要がありますが(*2)、これを怠っていると認定されたケースです。とはいえ、電話でのダイレクトマーケティング違反に問われた事例の全ては、TPS関連の規定を定めたReg 21の違反であり、必要情報の不伝達は、付随的な違反といえます。

Ice Telecommunications Ltd

処分日:2023年5月9日
制裁金額:£80,000
違反:PECR 21条

UK Direct Business Solutions Limited

処分日:2023年5月9日
制裁金額:£100,000
違反:PECR 21条

Crown Glazing Ltd

処分日:2023年5月18日
制裁金額:£130,000
違反:PECR 21条

SGS Home Protect Ltd

処分日:2023年8月2日
制裁金額:£70,000
違反:PECR 21条

House Hold Appliances 247 Ltd

処分日:2023年8月3日
制裁金額:£55,000
違反:PECR 21条

Maxen Power Supply Limited

処分日:2023年5月30日
制裁金額:£120,000
違反:PECR 21条、24条

Cover Appliance Ltd

処分日:2023年8月2日
制裁金額:£200,000
違反:PECR 21条、24条

F12 Management Ltd

処分日:2023年8月2日
制裁金額:£200,000
違反:PECR 21条、24条

Poxell Ltd

処分日:2023年8月3日
制裁金額:£150,000
違反:PECR 21条、24条

RHAP Ltd

処分日:2023年9月12日
制裁金額:£65,000
違反:PECR 21条、24条

MCP Online Ltd

処分日:2023年9月28日
制裁金額:£55,000
違反:PECR 21条、24条

Skean Homes Ltd

処分日:2024年1月11日
制裁金額:£100,000
違反:PECR 21条、24条

Pinnacle Life Limited

処分日:2024年2月15日
制裁金額:£80,000
違反:PECR 21条、24条

PECR(電子メールマーケティング)違反

こちらも全ての制裁金通知の内容を読めていないのですが、基本的に、次の違反を理由としたものです。

まず、電子メールによるダイレクトマーケティングは、原則として、受信者から予め同意を得ていない限り、実施してはならないところ(*3)、同意が得られていないにも関わらず、ダイレクトマーケティングを行ったケースです。この「同意」は、UK GDPRの同意と同義であり、厳格な要件が課せられています。多くのケースでは、全く同意を得ていないというよりは、形式的には同意を得ているように見えても、それは不十分なものだったと認定されています。

次に、電子メールでのダイレクトマーケティングの際には、受信者が、配信の停止を要請できる有効なアドレスが提供されていなければならず(*4)、これが提供されていないという認定がされたケースもあります。

Join the Triboo Limited

処分日:2023年4月12日
制裁金額:£130,000
違反:PECR 22条

Fortis Insolvency Limited

処分日:2023年6月27日
制裁金額:£30,000
違反:PECR 22条

Simply Connecting Ltd

処分日:2023年8月3日
制裁金額:£40,000
違反:PECR 22条

Digivo Media Limited

処分日:2023年10月3日
制裁金額:£50,000
違反:PECR 22条

Grocery Delivery E-Services UK Ltd t/a HelloFresh

処分日:2024年1月11日
制裁金額:£140,000
違反:PECR 22条

This Is The Big Deal Limited

処分日:2023年8月3日
制裁金額:£30,000
違反:PECR 22条、23条

Argentum Data Solutions Limited

処分日:2023年
制裁金額:£65,000
違反:PECR 22条、23条

L.A.D.H Limited

処分日:2024年1月11日
制裁金額:£50,000
違反:PECR 23条、24条

まとめ

いかがだったでしょうか。
本日は、過去1年にわたるICOの処分事例のうち制裁金が課された事例についてまとめてみました。

UK GDPR違反の2件は、どちらも重大な案件ですね。PECRと比して制裁金まで課される事例は少ないとはいえ、いざ喰らったときのインパクトは、こちらの方が大きいです。

PECR違反の事例については、割を似通っていたため、個別にコメントはしませんでしたが、やはり、基本的な規定について、きちんと遵守することが重要だと感じました。

最後に、この記事を書くにあたって、個人的にまとめた表を共有します。クリックして頂ければ、拡大して見れるはずです。なお、「NOTE」の欄は、ICOのプレスをコピペしたものです。

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

【注釈】
*1 Reg 21(1)(b), PECR
*2 Reg 24(2), ibid
*3 Reg 22(2)
*4 Reg 23(b)

免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

X(Twitter)もやっています。
こちらから、フォローお願いします!

このほかにも、データ法に関する解説を書いています。
よければご覧ください。

この記事が気に入ったらサポートをしてみませんか?