スペインのデータ保護監督機関(AEPD)が携帯電話会社へ利用者名義の不正利用及びその対応処理に関して6万ユーロの制裁金


スペインのデータ保護監督機関(AEPD)が携帯電話会社へ利用者名義の不正利用及びその対応処理に関して6万ユーロの制裁金

2018年のある日、ある携帯電話利用者に、心当たりのない携帯電話の購入費用(654ユーロ)の請求書が届いた。自分の名義が勝手に使われたこと(なりすまし)に気づいた利用者は、XFERA MÓVILES, SA(以下、XFERA社)にその旨を連絡した。一方、警察にも連絡し捜査が開始された。AEPDによる調査の結果、なりすまし事案の責任はXFERA社にあることが判明した。このため、AEPDは利用契約等を調査するための資料をXFERA社に要求したものの、警察での捜査が開始されており「一時不再理」の原則により不要との主張により、期限内の回答がなかった。

このため、AEPDは以下の理由により決定を下した。
1 EU一般データ保護規則(GDPR)58条2項(監督機関の是正権限)他の規程により、AEPDは本件を処理決定する権限がある。
2 利用者のなりすましは、GDPR6条(適法根拠)に違反したデータ取得を行っており、GDPR82条(制裁金の一般条件)5項に従った制裁金として6万ユーロを課した。

本件においては、なりすましによる不正という事実もあるが、発覚後の当局への対応という点でも問題があったと考えられる。

【AEPDの決定文】
https://www.aepd.es/resoluciones/PS-00262-2019_ORI.pdf(リンク切れ)

 

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト