デンマーク ホテルグループに対して110万DKK (約1,800万円)の制裁金を進言


保有期間徒過の個人データの保有に対して制裁金

2020年7月28日、デンマークのデータ保護監督機関(Datatilsynet)はArp-Hansen Hotel Group A/Sというホテルグループ(以下「Arp-Hansen」)に対して、保有期間が徒過した50万人分の個人データを保有していたことにつき110万DKK (約1,800万円)の制裁金を科すよう警察へ進言する報告書を提出した。(デンマークでは、警察に送致した後、裁判所の決定により制裁金が科される。) Datatilsynetが、Arp-Hansenに対して、十分な個人データの保護に対する手順を備えているかどうかを調査する目的でいくつかのシステムを確認したところ、予約システム内に保有期間を過ぎた50万人の顧客情報を保有していることが発覚した。これは目的のために必要な期間のみ個人データを保有する原則(GDPR5条1項e号)に違反する。

保有期間のルール化と運用

顧客などから取得した個人データの保有期間を明確な社内ルールとして定めず、またルールが存在してもルールに反して目的のために必要な保有期間の徒過後も漫然と個人データを保有し続ける企業は多い。このようなルールがない、またはルールに反した運用により、本来削除されるべき個人データが侵害にさらされるという無用のリスクが生じ、また今回の事案のように監督機関から制裁を受けるリスクも生じることになる。 また、日本においても個人情報保護法の2020年の改正により、「当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合」に本人は利用の停止や消去、または第三者提供の停止を請求することができる(改正法30条5項)。この「利用する必要がなくなった場合」の基準として、個人データの保有期間を明確な社内ルールと定め、またルールに従った運用を行うことが重要になってくる。

【Datatilsynetのサイト】

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/jul/arp-hansen-hotel-group-a/s-indstilles-til-boede

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

IIJビジネスリスクアドバイザリーサービス 

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト