EU圏のプロモーション、カスタマーサポートに注意。改めて整理するGDPRまとめ

いわば日本の「個人情報保護法」のEU版のようなものですが、対象となる個人情報の範囲にはSNSサイトへの書き込み情報、医療情報、コンピュータのIPアドレスなども含まれており、違反した場合は巨額の制裁金が課せられるなど、日本の法規制よりも厳しい内容となっています。

また、注目すべきは上記一般データ保護規則の条文「第3条 地理的適用範囲」です。
「本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。」とされており、EUに子会社や支店、営業所を持っている企業だけではなく、EU域内の企業から個人データの処理などを受託している日本企業の場合にも適用されるため、注意が必要です。

参照：EU一般データ保護規則（GDPR）の概要と企業が対応すべき事項 / EY Japan

これは、日本のホテルが外国語Webサイトの運営を委託している「ファストブッキングジャパン株式会社」の親会社であるフランス法人「ファストブッキング社」のサーバーに対して不正アクセスがあり、欧州からの宿泊者の氏名や住所、クレジットカード情報などの個人情報が流出したものです。
これについてプリンスホテルは2018年6月26日に「個人情報の流出に関するお詫びとお知らせ」を掲載しました。

前記GDPRの条文第８章第83条「制裁金を科すための一般的要件」によれば、制裁金を科すか否か、制裁金の額を判断する場合には、損害の程度のほかに、その違反に対して管理者または処理者がどのような対策をとったかを重視します。 違反の通知の有無や、どの範囲で通知したのか、過去に関連する違反がなかったか、あった場合はそれに対する対応がされているかなど、その管理者または処理者の取り組みの姿勢が審査されます。
今回のケースでは、プリンスホテルは管理者としてGDPRを順守する対応を速やかに行っており、被害状況からも制裁金には発展しないとの見方もあるようです。

しかし今回のケースは、EU域内に拠点がある処理者にWebサイトの運営を委託している会社にとってはまさに参考にすべき重要ケースと言えるでしょう。
もし制裁金には発展しなかったとしても、それをもって安心材料とするのは早計です。同じような情報漏洩や個人情報の流出などが発生した場合に、管理者としてGDPRに則した適切な対策をとっていないと見なされれば、制裁金が発生する可能性もあります。

現状では具体的な対策について判断が難しいところではありますが、まずはもし違反があった場合の対応方針を検討しておく必要がありそうです。