大手グローバル企業が受けたデータ流出による処罰事例 -NEW-
2025年9 月9日の国家サイバーセキュリティ通報センターの発表により、フランスの有名ファッションブランドであるディオールの中国現地会社が、以下に挙げる『個人情報保護法』などの違反により現地公安機関の行政処罰を受けた事件が社会の注目を集めています。
(1)データ域外移転の手続き要求(データ域外移転安全評価、標準契約締結又は個人情報保護認証)を履行していない。
(2)個人情報に関するユーザーの「単独同意」を得ていない。国外データ受信者への情報提供をユーザーに告知していない。
(3)収集した個人情報に対する暗号化、非識別化などのセキュリティ技術措置を講じておらず、データ流出を招いた。
この事件は、企業(特にグローバル企業)によるデータや個人情報の域外移転およびコンプライアンス管理に重大な警告意義を持つことから、以下に各企業が特に留意すべきポイントを整理します。
1.個人情報およびデータ処理のコンプライアンス強化
上記事件を総合すると、企業には個人情報取扱いおよびデータ域外移転において以下のようなコンプライアンス強化が求められています。
① 告知義務を履行する。個人の単独同意を得る。
② 個人情報保護影響評価を実施する。
③ 暗号化、匿名化など必要な技術的措置を講じ、情報漏洩リスクを減らす。
④ 各業界およびデータ域外移転の実際の状況に応じて、法定の「域外移転」手続きを履行する。
上記④について、少量の個人情報取扱いおよびデータ域外移転を行う企業にとっては、海外受信者との標準契約の締結が比較的利便性の高い方法です。個人情報保護認証やデータ域外移転安全評価には比較的複雑なプロセスが伴います。
また、例外的状況も存在し、すべての個人情報データの域外移転に法定手続きの履行が求められているわけではありません。
2.データコンプライアンスの制度構築および記録保存の重要性
近年、データの流出が巨額の罰金に至ったケースは珍しくありませんが、最終的な処罰根拠のほとんどは、企業が個人情報保護義務を履行する措置を十分に講じていないことにあります。そのため、以下の対策を検討することが重要となります。
(1)内部コンプライアンス制度の構築
個人情報およびその他データの収集、保存、使用、および提供から廃棄までの全プロセスにおけるコンプライアンス管理制度と実施細則を確立すると共に、各部署における内部規則の遵守が必要です。
(2)コンプライアンス関連記録の保存
企業は、個人情報の収集・保管・利用プロセスにおけるコンプライアンス判断記録、規程制度、リスク評価報告書、従業員またはユーザーへの通知と同意取得記録などの関連文書を適切に保存する必要があります。これにより、内部コンプライアンス監査を適切に実施できるだけでなく、政府当局の監督管理に直面した場合、これらに基づき抗弁や交渉を進めることで、企業としてコンプライアンス関連義務の履行を主張することができます。
◆日系企業へのアドバイス
データ情報化時代の到来に伴い、個人情報や企業データは将来的に重要なリソースになることから、政府当局も継続的にデータと個人情報保護に対する監督管理および法執行を強化しています。そのため、現地企業にもインターネット情報部門、公安機関、業界主管部門の監督管理や調査に直面する可能性があります。各当局からの問い合わせや調査に対応可能なコンプライアンスシステムを構築することは極めて重要であり、政府当局からの調査時には、必要に応じて現地弁護士に対応を依頼することも可能です。
グローバル企業には、異なる国や地域において法令遵守とユーザーに対する合法的な対応が求められています。そのため、各国や地域の国際的業務に関わる法的制約を十分に理解した上で、各種監督管理要求へ柔軟に対応できるデータ保護対策を講じることが重要です。
作成日:2025年10月09日
