9月28日、Facebookがハッカーにより攻撃され、約5000万人分のユーザー情報が流出した恐れがあるとの公表をしました。
この情報流出により、フェイスブックが今年の5月25日に施行された欧州の新しい個人情報保護規則である一般データ保護規則(GDPR)に違反し、罰則を支払うことになる可能性があるというニュースが出ています。
GDPRは、違反した場合の罰則が大変重い法律で、フェイスブックは、2000万ユーロ(約26億円)か売上の4%のいずれか高い方の金額を科される可能性があります。
なお、純利益ではなく売上ベースの罰金なので、数字的にはかなりエグい金額になります。フェイスブックの売上だと、16億3000万ドル(約1830億円)が想定される最大の罰金額になるようです。
GDPR施行以来、まだ罰金が科された企業はありませんので、仮にフェイスブックに罰金が科さられると、初めてのケースとなります。
FacebookがGDPR違反となる根拠
今回の個人情報漏洩事件は、ハッキングが原因です。
直接Facebookが漏洩させたわけではなく、1番悪いのハッキングした犯人です。そのため、フェイスブックは加害者ではなくむしろ被害者なのではないかという考えもできます。
しかし、GDPR上はフェイスブックは違反当時者となりえます。
理由としては、企業はユーザーの個人データ(ほぼ日本でいう個人情報の意味)を適切に保護する措置を実施する義務をGDPR上負っているのです。
簡単に言えば、例えハッキングされても簡単に個人データを抜き取られない強固なITシステムを構築しなければならないという義務です。
そのため、例え故意に個人データを流出させたのではなくとも、個人データの「安全管理措置」が不十分であったと認定されれば、GDPR違反となります。
罰金額が1830億になることはほぼありえない
フェイスブックほどの超大企業のシステムが脆弱だとすると、世の中の残り99.99%の企業の個人データを扱うシステム全て脆弱だということになりますので、システムに脆弱性があったと認定するハードルが高いように思います。
フェイスブックほどの資金力と膨大な個人データを有する企業であれば、今回のような方法のハッキングを事前に想定してより強固なシステムを構築すべき義務があったのにそれを果たさなかったとか認定されるのでしょうか。
5000万人のうちどれだけが欧州居住者の情報なのかは不明ですが、多くの個人情報が漏洩してしまったという悪影響の結果論から議論が出発すると分が悪くなりそうです。
ただ、仮にGDPR違反が認定されたとしても、最大額の1830億円の罰金額が科されることはとても考えられません。
制裁金は、1科すか科さないか、2科すとしたらいくらにするかの2つの段階があります。
そのため、フェイスブックの責任が重くないとして、制裁金を科さないという判断も十分ありえます。
仮に科す場合はGDPR上、罰金額の決定に際しては、以下のような要素を考慮して欧州委員会が裁量によって決定します。
- 故意や過失の程度
- 違反の重大性、影響を受けたユーザーの数や損害の程度
- フェイスブックが事後にとった措置や対策
- 監督機関へ適切に通知をしたか、
- 監督機関との協力の程度
GDPR違反の罰金の前例がないので何とも言えませんが、EU当局から求められる情報をしっかりと提供し真摯な協力をし、今後の対策措置をちゃんととるといった誠実な企業対応をすれば仮に罰金が科されてもそこまでの金額にはならないのではと思います。
GDPRとは何かという記事はこちらにあります。
コメントを残す