1.今回のテーマ
年明けに「ポルトガルで初めて、GDPR違反の制裁金が課された」との趣旨の記事が流れてきました。本件については、昨年末の時点で
「ポルトガルの病院が400,000ユーロの制裁金を食らいそうだよ。でも病院側は争うみたいだよ」
という記事が別途出ていたので、それが確定したということなのだと思います。今回の記事では、判断過程の情報が色々と載っていて面白かったので、読んで考えたことを少し書いてみます。
2.事例分析
(1)制裁金の額について
GDPRがこれだけ騒がれ、また日本においても対応が一定程度進んだのはやはり制裁金の存在が大きかったと思います。20,000,000ユーロという金額はインパクトがありましたよね。
今回の事例では400,000ユーロ(≒5,000万円)が制裁金として認められたようです。私も全ての事例を追えている訳ではありませんが、
よりは踏み込みつつも、相場が確立していない中で最高額からはある程度距離を置いて…という感じでしょうか。今回の記事には、金額決定における考慮事項のあてはめも載っていたのでそこも面白かったです("When determining the amount of the fine"以下に載っています)。
(2)違反の根拠について
今回の事例では、以下の条文が違反の根拠として挙げられていました。
- Article 5(1)(c):データの最小化
- Article 5(1)(f):完全性及び機密性
- Article 32(1)(b):機密性、完全性、可用性及び回復性を確保する能力
Article 5は(条文の位置が若いことからも解る通り)基本原則に関する条文なのですが、この抽象度の高い基本原則でガンガン違反を認定してくるあたりさすがGDPRだなという感じがします。
(3)違反の態様について
とはいえ実際に認められた違反の態様は、割とベタなアクセス権限の管理不備が中心のようです。アクセス管理はどのフレームワークでも最初の方に出てくる定番の管理策ですよね。
本件でなされている
- ユーザーの管理方針に関するドキュメント無いよね
- 医者は296人しか居ないのに、985人の"doctor"ユーザーが居るのはなんで
- 人の出入りがあるはずなのに、無効化されたアカウント18人だけだよ
みたいな指摘は、何というか…まぁあるあるだよなという感じはします。
3.感想
今回のニュースをみて真っ先に思い浮かべたのは、やはりベネッセの事件でした。
違反の態様はもとより、制裁金なのか損害賠償なのかという違いもあるので簡単に比較できるものでは無いですが、日本でももう少しセキュリティ・プライバシーが重視されてもいいのかなという気がします。
ただ、例えばこのポルトガルの病院みたいに、イケてないユーザー管理の組織って山ほどあると思うんですよね。そんな中でたまたまバレた組織だけがあまりに高額の制裁金を食らうのが正しいのかというと、うーん…という気はします。当局もこの後片っ端からユーザー管理の状況をチェックしていくマンパワーがある訳でも無いですし。
一方で冒頭にも述べたとおり、制裁金がセキュリティ・プライバシーに意識やお金をかけるインセンティブになっているのも事実ですよね。この辺はまだ自分の意見が持てていなので継続検討です。
-------------------------------------------------
以上です。ご指摘・感想等いただければ嬉しいです。