仏CNIL、靴eコマース事業者に制裁金


フランスのデータ保護監督機関CNILは、8月5日、靴を販売するeコマース事業者、SPARTOOがGDPRが規定するデータ最小限原則、データ保持期間最短原則、情報提供義務、セキュリティ対策義務に違反するとして、250,000ユーロの制裁金を賦課すること、3ヶ月以内に是正されない場合、その後1日あたり250ユーロの制裁金を賦課することを決定したと発表した。CNILが認定した法違反の内容は概ね以下の通り。

フランス データ保護監督機関CNILが認定した法違反の内容

データ最小原則違反

SPARTOOは、顧客からの電話による購入申込みや問い合わせの電話通話をすべて録音していた。通話内容には、クレジットカードの情報が含まれていた。同社は、顧客対応担当従業員の訓練のためとしているが、実際に訓練目的に利用されたのは毎週1通話のみであり、すべての通話を録音することは、GDPR第5条のデータ最小限原則に違反する。

同社のイタリア拠点では、詐欺防止を目的として商品購入を申し込んだ顧客から健康保険証に記載された情報を取得していたが、これは商品販売の目的に照らして過剰な個人データである。

データ保持期間最短原則違反

同社は、取得した個人データの保持期間に関するルールを確立しておらず、また、定期的に個人データを削除しておらず、個人データ保持期間を目的に照らし必要最短に制限する義務に違反する。

同社は、見込み客の個人データを最後の接触以降5年間保持することを社内ルールとしていたが、実際には、見込み客との接触が2年間ない場合、その後アプローチしないという運用をしており、必要以上の長期間にわたって個人データを保持している。

情報提供義務違反

同社の従業員に対して、顧客対応訓練目的で顧客との通話内容を保持すること、その適法根拠、保持期間、開示先などについて情報提供していなかった。

セキュリティ対策義務違反

顧客が決済のために提示したクレジットカードのコピーを暗号化しないまま6ヶ月にわたって保管することは、リスクに照らし必要なセキュリティ対策を欠いている。

協力一貫性メカニズムによる制裁決定

SPARTOOはEU13カ国からアクセスできるeコマース事業者である。今回の決定は、CNILを主監督機関として、GDPR第60条に規定される協力一貫性メカニズムに従い、13カ国の監督機関との協議調整のもとで行われた。

【CNIL決定文】
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

IIJビジネスリスクアドバイザリーサービス 

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト