昨年12月、フランスの情報保護当局はグーグルに約126億円の制裁金を科すと発表した。中央大学の宮下紘准教授は「かつてナチスが個人データを悪用して虐殺を行ったことから、EUでは個人データの扱いは極めて慎重だ。GAFAなどへの制裁は、EUとアメリカとの思想的な衝突といっていい」という——。
総額351億円の制裁金
EU一般データ保護規則(GDPR)が2018年5月に適用開始されてから、約2年8カ月の間にEU個人データ保護当局が科した制裁金の総額は約351億円(約2億7250ユーロ)である、という調査結果が明らかにされました(DLA Piper調査2021年1月27日時点)。
これまでのGDPR違反に伴う大きな制裁金の事例は図表1のとおりです。ちなみに、GDPRの制裁金の上限は、全世界の年間総売上高の4%または2000万ユーロとされており、これまでこの上限に達する制裁金が科された例はないため、今後より高額な制裁金が科される事例もみられる可能性があります。
GDPR違反に伴う法執行には様々なものがみられます。同意なしでの個人データ処理やマーケティング、適法な根拠なしでの個人データ処理、個人データの開示や消去への対応、データ保護責任者の配置義務、データ侵害の通知義務、従業員の監視、さらに個人データのEUから第三国への移転などを理由とした違反がみられました。
また制裁金の対象はGAFAのようなIT大企業のみならず、行政機関や中小企業においてもみられます。