スペインのデータ保護監督機関(AEPD)がAVON COSMETICS SAUへ制裁金6万ユーロ


スペインのデータ保護監督機関(AEPD)がAVON COSMETICS SAUへ制裁金6万ユーロ

AFPDは、所謂「なりすまし」にて入手した個人データを処理した会社に、本人確認が不十分であり適法根拠が不十分であるとしてEU一般データ保護規則(GDPR)違反の制裁金を課した。

AVON COSMETICS SAU(以下「エイボン社」という)の化粧品の販売代理店として登録していた個人(以下「被害者」という)が代金の不払いをしたので、エイボン社は被害者をブラックリストに登録し、被害者は銀行と取引できなくなってしまった。しかし、販売代理店の登録は、第三者が被害者の名義を不正利用したもの(いわゆる「なりすまし」)であり、被害者は化粧品取引について無関係であった。そこで、被害者は、エイボン社に対して、ブラックリストからの削除を要請したが、エイボン社は被害者のサインが契約書のサインと異なるとして要請を拒絶したため、被害者はAEPDへ苦情を申し立てた。

エイボン社は、「実際は詐欺を行った第三者によるものだが、被害者を契約当事者として電子署名を受けとり販売代理店としてデータ処理を行ったことについて十分な法的根拠がある」、また「ソーシャルネットワークでの犯罪で偽のプロファイルが使用された場合、関係する企業は免罪され、詐欺を犯した者のみが処罰される」と主張した。

しかし、AEPDは、エイボン社は被害者の署名を取得しておらず、被害者のデータを処理する法的根拠がないとして、GDPRに違反すると判断した。また、エイボン社は被害者をブラックリストに登録する前に適切な確認を行っていない、と判断した。もっとも、影響を受けたのは1人だけであり、意図的な違反ではないという事実を考慮して制裁金6万ユーロとした。

エイボン社としては被害者を契約当事者として扱うに足りる根拠を示された上で電子署名による契約を行っているが、この電子商取引の手続きではGDPR上の同意の有効性を証明することが難しい。この制裁が、より厳格な本人確認メカニズムを含む契約手続きにつながっていく可能性がある。

【AEPDの決定文】
https://www.aepd.es/resoluciones/PS-00159-2019_ORI.pdf(リンク切れ)

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト