下記も記事にありますように顧客情報を流出させてしまったマリオットホテルに制裁金が課されるようです。その額が日本円で130億円相当になるようです。額もすごいのですが、個人的にもマリオットには宿泊したことがあり、ちょっと気になったので調べてみました。
マリオットによるデータ流出
まず事件の詳細ですが、記事によると約500万人分のパスポート情報と800万人分のクレジットカード情報が流出したようです。
それに対して英国のデータ保護当局がマリオットに対して売上の3%程度に当たる130億円を制裁金として課すようです。マリオットのグローバルの売上は36億ドルとのこと。
日本におけるデータ流出事件
日本におけるデータ流出で大きく話題になったのは個人的に覚えているのはベネッセによるデータ流出事件です。詳細はこちらのウィキペディアを見ていただきたいのですが、ざっくりまとめると2014年に進研ゼミやこどもチャレンジなどの顧客情報が流出した事件で最大で3504万件のデータ流出の可能性があったようです。犯行の手口としては同社に出入りしていた外部業者によるデータ持ち出しだったようです。ただし、政府や監督機関などによるベネッセへの制裁金は課されていないようです。
もちろん顧客情報流出による信頼低下によりベネッセの顧客は減少し、ベネッセの業績も悪化するのですが、ポイントは顧客流出による制裁金がなかったということです。
GDPRによる顧客情報保護
この対応の違いですが、これはGDPR(General Data Protection Regulation)というEU一般データ保護規則という法律が関係しています。GDPRの詳細はこちら
GDPRは2016年に採択され、2018年5月から適用された法律で、EU内の法律ではあるものの、EUでビジネスを展開する日本企業、データの保護についてEU内の人々が日本企業が提供するサービスを使っていた場合どうなるのかと言った議論が当時巻き起こっていたのを覚えています。
またGoogleやFacebookなどグローバルでサービスを提供する企業からのGDPRに伴う利用規約変更のお知らせが相次いだことも記憶に新しいです。
GDPRによる制裁金の額
GDPRは細かいところでは、個人情報は匿名化しなければいけないとか、データを保護するための対策をしなければいけないなど、いろいろ定義されていたと思うのですが、印象的なのがそれを違反した時の制裁金で請求できる範囲です。ウィキペディアには下記のように書かれています。
初回かつ意図的でない違反の場合は、書面による警告
規則に基づく定期的なデータ保護監査
企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料(第83条4項)
企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料(第83条5項および6項)
今回のマリオットの場合はグローバル売上のうちの3%だそうなので、一番大きい方のグループに入るようですね。
しかしホテルというのは営業利益率が高いものではないと思いますので、営業利益ではなく、売上の3%を制裁金として課されるというのは、おろらく年間の営業利益の大きな割合が制裁金でなくなってしまうのではないかと思われ、大変厳しい処置のようにも見受けられます。
今後の日本での展開は
GDPRは一時期、巨大化するアメリカIT企業に対する恣意的な対策ではないかという議論もありましたが、このような個人データを流出させた企業に対する制裁金という点では、個人的にはいい法律ではないかと思えてきます。パスポートやクレジットカードの情報流出というのはゆくゆくはその情報を元に関係ない一般市民が犠牲になるケースがあるので、やはりとんでもないずさんな管理によるデータ流出に対して何らかの制裁金が課されるのは筋が通っているような気がします。
日本国内では個人データの情報流出は割と頻繁に起こっているような印象がありますが、多くの場合はITやテクノロジーについてしっかりと理解している人が責任者でないケースも多いような印象があります。7月1日にリリースされた7payのアプリの不正利用では、すでに一般の方が被害にあっているわけですし、Fintechの進化で物理的なお金ではなくて、電子情報でものが買えるようになったり、どんどん便利になっていく一方で、このようなデータ流出事件による被害はより大きくなっていくのではないかと予想されます。
今回のマリオネットの事件がどのように受け止められるかわかりませんが、このような事件が続くのであれば日本国内でもGDPRのような法律が可決される日が来るのかもしれません。