仏CNILが家庭向け断熱工事会社に50万ユーロの制裁 −データ最小化原則、個人データの域外移転等の不備−


フランス監督機関CNILが家庭向け断熱工事会社に50万ユーロの制裁 −データ最小化原則、個人データの域外移転等の不備−

26日、フランス監督機関CNILは、家庭向け断熱工事会社のFUTURA INTERNATIONALEに対し、顧客の権利行使対応、データ最小化原則、個人データの域外移転等の不備を理由に、50万ユーロの制裁金を課すと発表した。これまで、全体で200件前後の制裁事例があるものと推定されるが、域外移転(第44条)を理由としたものは、制裁内容の詳細が知られているものの中では初めてであると思われる。

家庭向け断熱工事会社のFUTURA INTERNATIONALE社は、同社顧客の個人データの処理者である欧州域外のコールセンターが、顧客から断られていたにも関わらず、顧客の個人データを用いた電話での勧誘営業を継続した。

同社は社内のコンピュータシステム内に、業務に不必要な顧客の健康や傷害の状態など、過度に個人データを記録していた。また、顧客が個人データの処理について問い合わせた際、その内容を適切に伝えず、また顧客の許可を得ることなく会話を録音していた。

CNILによる調査に対しても、提出を求められた書類を、CNILと合意された期限内に提出しないなど、監督機関の調査に対する非協力的な姿勢も制裁の加重要素とされた。

特徴的なのは、欧州域外への個人データの移転における違反に対する制裁である。同社は欧州委員会の規定や、監督機関が承認する水準を満たす標準的契約条項(SCC)を、処理者であるコールセンターと締結することなく、顧客の個人データを用いたオペレータ業務を実施させていた。また、同社の印章や署名は、契約書本体ではなく、そのコピーに押印または記載されていた。これらは、個人データの欧州域外移転の原則を定めたEU一般データ保護規則(GDPR)第44条の規定に反するものと判断された。

本事案の教訓は、GDPRの諸原則の誠実な遵守のほか、個人データの域外移転を伴う処理を実施する管理者間、あるいは管理者と処理者の間では、個人データの安全確保措置として、GDPRに定める様式や条件を満たす適切なSCC及び処理契約を締結することが必要だということである。日本はヨーロッパによる十分性認定を得ているものの、域外移転を伴う個人データの処理にあたっては、処理の適法性をより客観的に説明し、域外移転に伴うGDPR違反リスクを低減するためにも、GDPR上の要件を満たす正式なSCC及び処理契約を締結することが望ましい。

FUTURA INTERNATIONALE : sanction de 500 000 euros pour démarchage téléphonique illégal
https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal

関連記事