GDPR適用開始から1年、EU市民の権利意識高まる

EU一般データ保護規則（GDPR）の適用開始から1年が経過した。このところ、GDPR違反に対し、制裁金を科す事例が目立つ。直近の例をみると、ベルギーのデータ保護当局は5月28日、同国で初めてGDPR違反による制裁金を科す決定をしたと発表した。

対象となったのは地方自治体でのケースで、複数人からの苦情をカーボンコピー（CC:）された Emailで受け取った市長が、2018年10月の選挙の前日に、選挙活動に資する目的で苦情申し立て者全員に返信した。これが、目的外の個人情報の処理に当たるとされた。対象となるデータ主体（個人）の数が限られることなどから、制裁金は2,000ユーロと少額なものの、GDPR順守に向けて、この事例が意味するところは大きいとしている。この事例では、苦情申し立て者からの通報が制裁金につながった。

また、リトアニア当局は5月21日、電子決済サービスを提供するミスタータンゴ（MisterTango）に対して、6万1,500ユーロの違反制裁金を科したと発表。顧客の決済情報が2日間以上にわたって公に閲覧できる状態になっていた点、それを当局に報告しなかった点、決済サービスを提供するのに必要以上の顧客情報を収集していた点が問題視された。

EUと加盟各国のデータ保護当局の代表によって構成される欧州データ保護会議（EDPB）は5月22日、GDPR適用後、EU市民の間で個人情報保護に対する意識が高まっていると発表した。それによると、57％のEU市民が個人情報処理に関する苦情申し立てができるデータ保護当局の存在を認識しており、2015年と比べるとその割合は20ポイント上昇した。2018年にはほとんどの加盟国で個人情報に関する問い合わせや苦情が前年より増加したとしており、EDPBが把握している範囲で14万4,000件を超える苦情申し立てと、8万9,000件を超える違反の通報があったという。

（福井崇泰）