ここから本文です

日本企業初の「GDPR」違反の可能性、プリンスホテルなど

7/9(月) 6:00配信

ダイヤモンド・オンライン

 欧州のホテル予約サイトで先月末、不正アクセス事件が起き、同サイトに業務委託していたプリンスホテルや藤田観光など国内ホテル宿泊者の個人情報が漏えいしたことが発覚した。5月施行の欧州の新たな個人情報保護規制、GDPRに違反する国内初の事例となる恐れも出ている。(「週刊ダイヤモンド」編集部 大坪稚子、宮原啓彰)

 先月末、日本のホテル業界に激震が走った。フランスのホテル予約サイト「ファストブッキング」のサーバーが同月、2回にわたり不正アクセスされ、欧州からの宿泊者の氏名や住所、クレジットカード情報が流出したことが判明したからだ。

 ファストブッキング社によれば、日本国内の401カ所のホテルから計32万5717件の個人情報が流出したという。流出したのはプリンスホテルや藤田観光、ホテルモントレなどの宿泊者情報やクレジットカード情報だ(表参照)。不幸中の幸いで、ファストブッキング社と各ホテルによれば、これまでにクレジットカードの悪用は確認されていない。

 だが、この一件が単なる情報漏えい事件にとどまらないのは、今年5月に施行された欧州の新たな個人情報保護規制、GDPR(一般データ保護規則)に違反する可能性が指摘されるからだ。実際、漏えいした大手ホテルは「今回のケースはGDPRに抵触するという前提で調査、対応を進めている」としている。

● 管理者責任の強化で 外注先のミスでは済まされない

 GDPRとは、EU加盟国に欧州3カ国を加えたEEA(欧州経済領域)域内31カ国に所在する全ての個人データの厳格な保護を目的としたもので、IPアドレスなどインターネット上の情報をも含めて「個人情報」とし、その処理(収集や保管)に厳格なルールと、違反者への高額な制裁金を定めている。例えば、個人データのEEA“域外”への持ち出しは原則禁止。GDPR違反には、最高で世界売上高の4%か2000万ユーロ(約26億円)のいずれか高い方の制裁金が科せられる。

 問題は、GDPRがその事業規模や本社が所在する国・地域を問わず、EEA域内の個人情報を処理するほぼ全ての組織にも「域外適用」される点だ。つまり、本誌6月2日号の特集「GDPRの脅威」で報じたように、EEA域内の個人情報を扱う日本企業も対象となる。

 それ故、GoogleやFacebookなど米国のIT企業が施行当日にプライバシー保護団体に提訴され、片や米紙「ロサンゼルス・タイムズ」や「シカゴ・トリビューン」など一部のEEA域外サイトが、GDPR対策が終わっていないことを理由にEEA域内からのアクセスを遮断するといった、混乱が生じたのだ。

 今回のケースをGDPRに照らし合わせると、ホテルは個人情報の「管理者」、ファストブッキング社は個人情報の処理を外部委託された「処理者」という立場として位置付けられる。GDPRに詳しいバード・アンド・バード法律事務所パートナーの杉本武重弁護士は「一般論として、欧州の処理者から管理者が個人情報を受け取っているとすれば、域外適用になる可能性が高い」と指摘する。

 注意したいのは、GDPRはデータ侵害の発覚をもって即、制裁金を科すという類いの法律ではないことだ。監督機関がより重視するのは、GDPR対策への姿勢で、取り扱う個人情報の中身や個々の企業の事情に見合ったセキュリティー対策をしっかりとその組織が行っていたのかといった、取り組みのプロセスだ。

1/2ページ

記事提供社からのご案内(外部サイト)

特集1 さらば旧型金融エリート
メガバンク 地銀 信金 信組
特集2 コンビニクライシス
特集3 政府が画策する 原発大再編