« オーストラリア 個人情報保護法の改正に向けて公開協議を開始 | Main | 情報ネットワーク法学会 第20回第20回研究大会 »

2020.11.03

英国 Information Commissioner's Office (ICO)による罰金

こんにちは、丸山満彦です。

英国 Information Commissioner's Office (ICO)から、ブリティッシュエアウェイ、マリオットグループに対する罰金が発表されましたが、両者とも当初の罰金案から大幅に減額されていましたね。。。

負担能力が著しく減少したという感じでしょうかね。。。

    確定 減額率
British Airways 百万£ 183.39 20.00 89%
英国航空 億円 249.4 27.2  
  日付 2019.07.08 2020.10.16  
         
Marriott International 百万£ 99.00 18.40 81%
マリオット 億円 134.6 25.0  
  日付 2019.07.09 2020.10.30  

罰金というのは、ICOのルールにしたがって決定されることになっているのですが、ロジックは決まっているものの、アナログ的な要素も多くなっていますよね。量刑ガイドライン的な感じですね。。。

● Information Commissioner’s Office (ICO)

Regulatory Action Policy

違約金を払わせるべきか、払わせるとした場合はどのように決めるかについては、次のように決めるようですね。


Our decision whether to impose a penalty at all; and the decision as to the amount of the penalty in a case will involve consideration of the following factors:


原文 仮訳
1 the nature, gravity and duration of the failure; 過ちの性質、重大さ、および期間
2 The intentional character of the failure or the extent of negligence involved; 過ちが故意かどうか、または過失の程度
3 any action taken by the controller or processor to mitigate the damage or distress suffered by the data subjects; データ主体の受ける損害をや苦痛を軽減させるために管理者または処理者がとった行動
の4 the degree of responsibility of the controller or processor, taking into account technical and organisational measures implemented by the controller or processor in accordance with the GDPR and sections 57, 66, 103 and 107 of the DPA; 管理者または処理者の責任の程度。GDPR および DPA 第 57 条、66 条、103 条、107 条による管理者または処理者によって実施された技術的対策、組織的対策を考慮する
5 any relevant previous failures by the controller or processor; 管理者または処理者による関連する過去のあらゆる過ち
6 the degree of co-operation with the Commissioner, in order to remedy the failure and mitigate the possible adverse risks of the failure; 過ちの是正および誤りにより起こりうるリスクを軽減するため、委員会との協力の程度
7 the categories of personal data affected by the failure; 過ちによって影響を受ける個人データの種類
8 the manner in which the infringement became known to the Commissioner, including whether, and if so to what extent, the controller or processor notified the Commissioner of the failure; 委員会への違反通知措置。管理者または処理者が違反を通知したか否か、もし通知したのならその程度
9 the extent to which the controller or processor has complied with previous enforcement notices or penalty notices; 管理者または処理者が、過去の執行通知または罰則通知を遵守した程度
10 adherence to approved codes of conduct or certification mechanisms; 承認された行動規範または認証メカニズムの固守
11 any other aggravating or cc factor applicable to the case, including financial benefits gained, or losses avoided, as a result of the failure (whether directly or indirectly); 本件に適用されるその他の加重要素または軽減要素。これには、(直接的または間接的であるかどうかにかかわらず)過ちの結果として得られた金銭的利益、または回避された損失が含まれる
12 whether the penalty would be effective, proportionate and dissuasive. 罰則が有効であるか、比例しているか、説得力があるか

 

具体的な違約金の算定手順は、

Step 原文 仮訳
1 An ‘initial element’ removing any financial gain from the breach. 違反から金銭的な利益を取り除く「初期要素」
2 Adding in an element to censure the breach based on its scale and severity, taking into account the considerations identified at
section 155(2)-(4) of the DPA.
DPA 155 条(2)-(4)項で特定された考慮事項を考慮して、その規模と重大性に基づいて違反を問責する要素を追加する
3 Adding in an element to reflect any aggravating factors. あらゆる加重要因を反映するために要素を追加します
4 Adding in an amount for deterrent effect to others. 他者への抑止効果のための量を加える
5 Reducing the amount (save that in the initial element) to reflect any mitigating factors, including ability to pay (financial hardship). 支払能力(財政的苦難)などの軽減要因を反映させるために、金額を減らす(初期要素ではそれを抑える)

 

となっていて、次の場合は一般的に金額が多くなると説明しています。

# 原文 仮訳
1 vulnerable individuals or critical national infrastructure are affected; 脆弱な個人や重要な国家インフラが影響を受ける
2 there has been deliberate action for financial or personal gain; 金銭的または個人的な利益のために意図的に行動したことがある
3 advice, guidance, recommendations or warnings (including those from a data protection officer or the ICO) have been ignored or not acted upon; アドバイス、ガイダンス、勧告または警告(データ保護担当者または ICO からのものを含む)が無視されているか、または行動に移されていない場合
4 there has been a high degree of intrusion into the privacy of a data subject; データ主体のプライバシーへの高度な侵入があった
5 there has been a failure to cooperate with an ICO investigation or enforcement notice; and ICOの調査または執行通知に協力しなかったことがある
6 there is a pattern of poor regulatory history by the target of the investigation. 調査対象者に規制を軽視する傾向がある

 

なお、加重要素と軽減要素については、次のような説明がありますね。。。

加重要素

# 原文 仮訳
1 whether the attitude and conduct of the individual or organisation concerned suggests an intentional, wilful or negligent approach to compliance or unlawful business or operating model; 関係する個人や組織の態度や行動が、コンプライアンスや違法なビジネスや運営モデルに対する故意、故意、または過失のあるアプローチを示唆しているかどうか
2 whether relevant advice, warnings, consultation feedback, conditions or guidance from the ICO and/or the Data Protection Officer (for data protection cases) has not been followed; ICO および/またはデータ保護責任者(データ保護の場合)からの関連する助言、警告、相談のフィードバック、条件、またはガイダンスが守られていないかどうか
3 in data protection cases, whether the relevant individual or organisation is certified by a body that has been accredited under Article 43 of the GDPR or has failed to follow an approved or statutory code of conduct; データ保護のケースでは、関連する個人または組織が GDPR 第 43 条の下で認定された機関によって認定されているか、または承認されたまたは法定の行動規範に従わなかったかどうか
4 the relevant individual or organisation’s prior regulatory history, including pattern, number and type of complaints about the issue; 問題に関する苦情のパターン、件数、種類など、関連する個人または組織の過去の規制履歴
5 the vulnerability, if any, of the individuals affected, in particular by virtue of their age or other protected characteristic under the Equality Act 2010; 影響を受ける個人の脆弱性(もしあれば)、特に 2010 年の平等法に基づく年齢またはその他の保護された特性を理由としたもの
6 the state and nature of any protective or preventative measures and technology available, including by design; 設計上のものを含め、利用可能な保護または予防措置および技術の状態と性質
7 the manner in which the breach or issue became known to the ICO and, if relevant, failure or delay by the relevant individual or organisation to notify the ICO of the breach or issue; and 違反または問題が ICO に知られるようになった方法、および関連する場合は、違反または問題を ICO に通知するために関連する個人または組織が失敗または遅延したこと
8 any financial (including budgetary) benefits gained or financial losses avoided by the relevant individual or organisation, directly or indirectly. 直接的または間接的に、関連する個人または組織が得た財務上の(予算上の)利益または回避された財務上の損失

 

軽減要素

# 原文 仮訳
1 any action taken by a relevant individual or organisation to mitigate or minimise any damage (including delay) suffered by individuals; 個人が被る損害(遅延を含む)を軽減または最小化するために、関連する個人または組織がとった措置
2 in data protection cases, whether the relevant individual or organisation has followed an approved or statutory code of conduct データ保護の場合、関連する個人または組織が承認されたまたは法定の行動規範に従っているかどうか
3 the state and nature of any protective or preventative measures and technology available; and 利用可能な保護または予防措置および技術の状態と性質。
4 early notification by the relevant individual or organisation to the ICO of the breach or issue. 関連する個人または組織による違反または問題の ICO への早期通知。

 


さて、このガイドの目次を載せておきます。。。

Contents 目次(仮訳)
1 Commissioner’s foreword 委員会序文
2 Overview 概要
3 Aims of this policy 本ポリシーの目的
4 Objectives of regulatory action 規制措置の目的
5 Legislative basis underpinning the ICO’s regulatory activity ICO の規制活動を支える立法基盤
6 Our regulatory activity 当委員会の規制活動
7 Selecting the appropriate regulatory activity for breaches of information rights obligations 情報権利侵害に対する適切な規制活動の選択義務
8 A hierarchy of regulatory action 規制行為の階層
9 International regulatory action 国際的な規制措置
10 Working with others to take effective regulatory action 他者と協力して効果的な規制措置をとる
11 Statutory guidance in relation to how we will serve Assessment or Enforcement Notices and apply fines 査定通知や施行通知の通知方法や罰金の適用に関する法的ガイダンス
12 Effectiveness of regulatory action 規制措置の有効性
13 Evaluation and next steps 評価と次のステップ

法的ガイダンスの章も記載しておきますね。

原文 仮訳
1 When we will issue Information Notices 情報通知書の発行時期
2 When we will issue Assessment Notices 評価通知書の発行時期
3 Assessments of documents, including handling of health and social care records 健康とソーシャルケアの記録の取り扱いを含む文書の評価
4 Inspection and examinations during assessments 評価時の検査・試験
5 Interviews carried out during assessments 評価時のインタビュー
6 Publication of assessment reports 評価報告書の発行
7 Privileged communications 秘匿特権
8 When we will issue Enforcement Notices 施行通知の発行時期
9 Penalty Notices ペナルティのお知らせ
10 When a Penalty Notice will be appropriate ペナルティ通知が適切な場合
11 When oral representations will be appropriate 口頭での表明が適切な場合
12 What will be the amount of any penalty 違約金の額はどうなるのか
13 Fixed penalties 固定罰則
14 Cost recovery コスト回収

 


British AirwaysとMarriott International Incに対する、罰則案と罰則についてのICOからの発表

● U.K. Information Commissioner's Office (ICO)

[確定]

・2020.10.30 ICO fines Marriott International Inc £18.4million for failing to keep customers’ personal data secure

・2020.10.16 ICO fines British Airways £20m for data breach affecting more than 400,000 customers

[案]

・.2019.07.09 Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach

・2019.07.08 Intention to fine British Airways £183.39m under GDPR for data breach

 

■ 参考

● HUNTON

[マリオット]

・2020.10.30 ICO Fines Marriott International £18.4 Million for Security Breach

・2020.07.09 ICO Announces $124 Million Fine for Marriott International following Data Breach

[英国航空]

・2020.10.16 ICO Fines British Airways £20 Million for Security Breach

・2019.07.08 ICO Announces $230 Million Fine for British Airways following Data Breach

 

[2020.11.06 追加]

● JDSPURA

・2020.11.05 ICO and CNIL Levy Landmark Fines Against British Airways and Marriott for 2018 Data Breaches

 


■ 参考

日本政府 個人情報保護委員会

GDPR(General Data Protection Regulation:一般データ保護規則)

 仮訳がありますね・・・

 



|

« オーストラリア 個人情報保護法の改正に向けて公開協議を開始 | Main | 情報ネットワーク法学会 第20回第20回研究大会 »

Comments

Post a comment



(Not displayed with comment.)




« オーストラリア 個人情報保護法の改正に向けて公開協議を開始 | Main | 情報ネットワーク法学会 第20回第20回研究大会 »