イギリス高等法院が、英国航空の個人データ侵害の被害者による集団訴訟を認める決定


イギリス高等法院が、英国航空の個人データ侵害の被害者による集団訴訟を認める決定

イギリス高等法院は10月4日、2018年に発生した英国航空(BA)サイトにおける個人データ侵害事件に関する聴聞を実施するとともに、その被害者が集団訴訟(Class Litigation)を提起することを認める決定を下した。

この事件では、BAの公式サイトがハッキングされ、顧客の住所や支払いデータが流出したほか、一部の顧客はBAの偽サイトの画面に遷移され個人データを入力させられたものである。BAの顧客約50万人が被害を受けたとされている。原因はBAの情報システムのセキュリティ対策の不備であるとされ、監督機関であるイギリスICOは約1億8300万ポンド(約2億460万ユーロ)の制裁金を課す意向を示している。

今回の決定では、決定日から15か月の間、被害者はBAを相手取った集団訴訟に参加できるとしている。現在、約5,300人の被害者が法律事務所を通じて補償を求めているが、潜在的な被害者の規模は大きい。情報セキュリティの専門家は、「制裁はデータ侵害事案の終わりではなく、顧客による集団訴訟が提起された場合、その補償金額はEU一般データ保護規則(GDPR)違反の制裁金を超えるものになる可能性がある」と指摘している。

GDPRは、同法違反により発生した被害について、データ主体が管理者等に補償を求める権利を認めている。今後は、BAを相手取った集団訴訟で認定される補償内容について注目する必要がある。管理者等は、GDPR違反を理由とする司法コストを理解し、遵守体制の整備や、補償等の損失への金銭的対応(保険契約など)について検討することが求められるだろう。

〇 BA data breach class-action lawsuit “reinforces the power of GDPR”
https://www.verdict.co.uk/ba-data-breach-class-action-lawsuit/
〇 British Airways: Thousands given green light to make compensation claim over BA data breach
https://www.standard.co.uk/news/uk/green-light-for-thousands-of-ba-customers-to-make-compensation-claim-a4254696.html

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト