ロイヤリティカード作成時の身元確認手段をめぐり、ベルギー監督機関が発行商店に10,000ユーロの制裁金


ロイヤリティカード作成時の身元確認手段をめぐり、ベルギー監督機関が発行商店に10,000ユーロの制裁金

ベルギー監督機関のデータ保護局(Autorité de protection des données)は9月19日、ベルギーの商店(詳細不明)に対し1万ユーロの制裁金を課すと発表した。

ベルギーでは、商店のロイヤリティ—カード作成時の身元確認に、電子身分証明書カードの使用が認められている。しかし、電子身分証明書には多くの個人データが含まれていることから、監督機関は顧客の身元確認で電子身分証明書を使用する際には、顧客の同意が必要であるとしている。この事例は、ベルギーのある商店(名称等詳細不明)が、店の顧客に発行しているロイヤリティカードの作成において、身元確認の手段として顧客が電子身分証明書カードの提示を望まなかったところ、この商店がロイヤリティカードの発行を拒否したというものである。顧客は電子身分証明書カードの提示の代わりに文書による情報提供を申し出たが、店側はそれを拒否したため、顧客が監督機関に異議を申し立てた。

監督機関は、顧客が身元確認の代替手段を提示したにもかかわらず、電子身分証明書による身元確認に同意しなかったことを理由にロイヤリティカードの作成を拒否したことを、「自由な同意」と「データ最小化原則」の条件を満たさなかったとして、当該商店を処分したものである。

制裁対象となった商店の規模や事業内容は不明であるが、データ主体に実質的な経済損失が発生せず、関係するデータ主体の数も限定的であったとしても、最終的には1万ユーロの制裁金が課せられることとなった。中小事業者であっても顧客の個人データの不備が厳しい制裁につながる可能性があることに留意する必要がある。

ベルギー監督機関のリリース
https://www.autoriteprotectiondonnees.be/news/APD-sanctionne-un-commercant-pour-lutilisation-de-l-eid-pour-une-carte-de-fidelite

関連記事