GDPR違反で約250億円の制裁金を科せられた事例が明らかに

EUの一般データ保護規則（GDPR）が施行されてから1年が経過し、その影響が出始めているようです。これまでにも、フランス当局がGoogleに5000万ユーロ（約62億円）の制裁金を科した事例などが明らかになっています。
（関連記事:徐々に明らかになるGDPRの影響 - 日本企業に求められる対応とは）

DIGIDAYによれば、イギリスの個人情報保護監督機関である情報コミッショナーオフィス（ICO）は、このほどブリティッシュ・エアウェイズとマリオット・インターナショナルに巨額の制裁金を科したと報じられています。
ブリティッシュ・エアウェイズについては、顧客50万人分の個人データが漏えいしたとして、1億8300万ポンド（約246億円: 同社の年間世界収益の1.5%）を科したとのことです。マリオット・インターナショナルについては、全世界の宿泊者記録、3億3900万件の様々な個人データを露出させたとして、9900万ポンド（約133億円）の制裁金を科したとのことです。今後、両者には21日間の申し立て期間において制裁金の軽減を主張できるとのことです。
この事例は、個人データの大量漏えいという事態に対してEUの個人データ監督当局が巨額の制裁金を科すことに躊躇しない方針である、と受け止められています。
（関連記事: DIGIDAY 2019/07/19 250億円！：GDPR 違反で、初の大型制裁金が科せられる）

私たちは、既に過去のコラムにおいて「GDPRに基づいた本格的なアクションが2019年後半までに起きる」という予測を公表しています。今回のケースは、この予測を裏付けるものといえるでしょう。
（関連記事:カスタマー・データ・マネジメントに関する予測（2019年版））
監督当局や消費者団体などが企業に対してGDPRで認められた権利を行使し、場合によっては違反を告発する、といった事例は今後も増えることが予想されます。

ここで今一度、日本企業に求められる対応について考えてみましょう。
まず、自社のサービスの利用者にEUのユーザーが含まれている可能性があることを想定しておく必要があります。そして、GDPRの要求に準拠しているかを改めてチェックし、そうでない場合は実装を見直す必要性が高まっている、といえるでしょう。特に、個人情報を取得することの目的の説明、消費者からの「同意」の取得手続きなどに留意する必要があります。

SAP Customer Data Cloudは、登録・ログインにおけるユーザーの「同意」を適切に管理するための機能を提供しています。単一のカスタマー・プロフィールにユーザーの同意やプリファレンスに関するデータを格納し、これらのデータを「シングル・カスタマー・ビュー」として管理したうえで、マーケティング・オートメーションなどの他システムに反映させる優れた機能を有しています。これまでのところ、不服申し立ての理由の中では、マーケティングのメールなどに関するものが多いとされています。ユーザーの同意を適切にマーケティング・システムに反映させることが、この不満を解消するソリューションとなるでしょう。

さらに、SAP Customer Data Cloudは、セルフサービス型のプリファレンス・センターを提供する機能も備えています。ユーザーが「忘れられる権利」をはじめとするGDPRが保障する権利を行使するための機能を提供することが出来るのです。セルフサービス型のプリファレンス・センターの提供は、ユーザーがコールセンターなどに連絡することなく自身でその権利の行使を完結させることが出来るという点で、不服申し立てのリスクだけでなく対応コストの軽減にもつながることが期待できるでしょう。

SAP Customer Data Cloudは、グローバルのベストプラクティスにより、GDPR, 日本の個人情報保護法、そしてカリフォルニア州のCCPAなど急速に変化するプライバシー保護法制度への迅速な対応を支援します。