2023年に英国個人データ保護監督機関 (ICO)が企業に対して実施した強制措置は 2023年6月12日時点で31件に上りました。その内訳は7件の制裁金、15件の譴責、7件の執行命令、2件の起訴です。2023年に課された制裁金の総額は現在のところ1,346万ポンドとなっており、その対象は大企業に留まりません。
ICOの取り締まり方針は?
近年、ICOはより積極的に強制措置を講じています。2022年10月までの12か月間においてICOは記録的な件数の制裁金を科し、その総額は1,520万ポンドに及びました。ICOは引き続きデータ保護違反に対して強い姿勢で臨み、違反企業に対して制裁金を科すことを躊躇しないと述べています。
ICOの強制措置はすべての企業にとって、データ保護法の遵守が不可欠であることを思い起こさせるものです。違反した企業には多額の制裁金を含む強制措置の対象となる可能性があります。
強制措置の対象となる違反事項は?
ICOの強制措置は以下を含む様々なデータ保護法の違反を対象としています。
- (同意が必要な場面であるにもかかわらず)個人情報収集時に同意を得ていない場合
- 個人情報を安全に保管していない場合
- 個人情報を収集した目的以外に使用している場合
- 不要な個人情報を削除しなかった場合
ICOが講じることのできる制裁は?
データ保護法に違反した企業に対し、ICOは様々な制裁を科すことができます。
制裁には以下のものが含まれます。
制裁金 (Monetary penalties): ICOは最大で1,750万ポンドまたは全世界における年間売上高の4%のいずれか高額な方の制裁金を科すことができます。
執行命令 (Enforcement notices): ICOは法を遵守させるために特定の措置を講ずるよう企業に求める執行命令を出すことができます。
社名公表 (Public censure): ICOはウェブサイトにて違反企業の社名付きの声明をだすことができます。
起訴 (Prosecution): 深刻なケースにおいては、ICOはデータ保護違反を行った企業を起訴することができます。
最近ICOが科した高額制裁金は?
最近ICOによって高額の制裁金を科された4つのケースを例として挙げます。
- 2023年4月、TikTok Information Technologies UK Limited and TikTok Inc. (TikTok) は子供の個人情報の不正使用を含む複数の違反行為に対して1,270万ポンドの制裁金を科されました。
- 2022年10月、Interserve Group Limited は最大で11万3,000人の従業員の個人情報が危険にさらされることとなった情報漏洩に対して440万ポンドの制裁金を科されました。
- 同じく2022年10月、カタログ小売業者のEasylife Limited は個人情報を適法に、公正かつ透明性をもって処理しなかったことに対して、135万ポンドの制裁金を科されました。
- 2022年5月、Clearview AI Inc は同意なくインターネット上から個人の写真を収集し保存したことに対して755万2,800ポンドの制裁金を科されました。
データ保護規制当局は大企業だけを対象にしているのか?
大企業によるデータ侵害は、特に巨額の制裁金が科される場合、たびたび大きなニュースになります。アイルランドのデータ保護委員会は最近、Facebookで知られるMeta Platforms Ireland Limited (Meta IE)に対してEU一般データ保護規則に違反したとして12億ユーロ(約10億ポンド)の制裁金を科しました。
しかし、ICOはデータ保護法に違反した企業に対して、その規模に関わらず強制措置を講じており、小規模事業者であるからといって罰則や制裁の対象外となるわけではないことを明確にしています。
小規模事業者に対してICOが講じた強制措置の例は?
2023年6月、ICOはMaxen Power Supply Ltd がTelephone Preference Service (TPS)登録者に対して一方的に電話をかけたことに対し、12万ポンドの制裁金を科しました。TPSとは、無作為抽出による営業電話を受けないことを明確に意思表示した個人を登録したデータベースです。Maxen Power Supply Ltdはエネルギー供給事業者ですが、TPSに登録された連絡先に対して50万件以上の電話をかけていました。
求人ウェブサイト運営会社のJoin the Triboo Limited は、2023年4月、個人に対して適切な同意を得ずにマーケティングメールを送ったことで13万ポンドの制裁金を科されました。
2023年5月、Ice Telecommunications Limited は、Corporate Telephone Preference Service (CTPS) およびTPSに登録された事業者に対して一方的な営業電話をかけたことで8万ポンドの制裁金を科されました。
英国で事業を行う企業がUK GDPRを遵守するために行うべきことは?
UK GDPRはEU GDPRと概ね同様の内容で、英国で事業を行う企業がこれを遵守するために行うべき基本的な内容は以下の通りです。
- データ保護責任者 (DPO)を選任する、またはDPOの選任義務が無い場合はデータ保護に関連する責任の所在を明確にする。
- データ保護影響評価 (DPIA)を実施する。
- (当該個人情報を取得する)目的のために必要最低限の個人情報のみを取得する。
- 個人情報を正確に保ち、必要であれば最新状態に更新する。
- 個人情報を安全に保管する。
- 不要な個人情報は削除する。
- (報告すべき)データ侵害をICOに報告する。
3CSにできること
弊所がお手伝いできることのひとつに年次コンプライアンスチェックの実施があります。
データ保護に関するコンプライアンス状況を見直し、リスクのある個所を特定するために効果的な手段です。データ保護コンプライアンス監査と類似していますが、年次コンプライアンスチェックはより柔軟で費用対効果が高いといえます。
コンプライアンスチェックサービスの詳細やデータ保護関連のご相談については担当者へお問い合わせください。
