銀行員が間違えて銀行預金残高を教えてしまった場合、どこまで法律が対応するのか? 欧州では、個人情報の流出に対して、銀行はどのような罰則を受けるのでしょうか。 この記事を読めば、GDPRについて、そして私たちの個人情報に対してどのような保護が必要なのか、理解が深まることでしょう。
背景
スペインに住む借主が、現金による振り込みを利用して1ヶ月分の家賃を支払いました。銀行員が家主の預金残高がある預金受領書をその借主に誤って提供してしまいました。それによって、その借主は家主の預金残高を知るようになりました。
EUのGDPRは家主の権利を保護する
借主が貸主の預金額を知ったからといって、貸主に実害はなく、結果として貸主の預金額が減少したわけでもなく、借主が貸主の口座のパスワードを入手したわけでもないが、貸主の権利に損害はなかったようです。
しかし、プライバシー権が重要視される時代にあって、恣意的な情報開示を受けないことは基本的な権利である。 このため、スペインの個人情報保護当局は、同銀行に8万ユーロの罰金を科しました。
罰則の根拠
①完全性及び機密性
(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
Article 5(1)(f) GDPR
GDPRは、個人データの管理者および処理者に対し、不正かつ違法な処理を含めないための適切なセキュリティ対策を講じるとともに、データの不慮の損失や破壊を回避するための対策、および技術的・組織的な手段を適用するよう求めています。
スペインデータ保護庁は、当該銀行がデータ管理者としての義務を果たしておらず、GDPR第5条1項(f)に違反し、守秘義務を果たしていないと判断し、5万ユーロの制裁金を課しました。
②技術以及組織上安全性
Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
Art 32 – Security of processing
GDPRは、個人データを保護するための技術的・組織的な措置を組織に求めていますが、これはやや抽象的に見えるかもしれませんので、次のような例で説明します。
データの暗号化または匿名化 – これには、データがハッシュ化された形式で保存されること、または匿名化された形式*****が含まれます。
データ漏洩防止 – データへのアクセスは複数の認証プロセスを経るため、ハッカーなどが一連のアカウントパスワードを知っていれば、直接個人データにアクセスすることができないようになっています。
スペインの個人情報保護局は、銀行が、他人が入金をしに来て領収書を要求することは予想できたのに、預金者の個人情報を保護するプロセスを設計していなかったと認定しました。 所轄官庁はさらに30,000ユーロの罰金を課した。
小結
個人データの処理は、企業のワークフローの初期段階から個人データの処理設計を行い、計画的に行う必要があります。 そうでなければ、不注意による個人情報の漏えいは、企業の評判に影響するだけでなく、当局からの罰則にもつながることになります。ご注意ください。
EU GDPRについてより詳しく知りたい方は、以下のリンクを参照してください。
GDPR条文:https://gdpr-info.eu
オンラインコース(2.5hr):https://tinyurl.com/29tuhnb7