日本では今年が個人情報保護法見直しの3年目、重大な漏えい案件に対して課徴金を導入するか否かが争点となっていることは以前にも紹介した(*1)。欧州のGDPRは多額の過料が課せられる可能性はあるものの、実質的に(米国の)ビッグテックを牽制するもので、一般の企業には関係ないとの意見も以前からある。しかし今回の小さな裁判では、その考えが覆るかもしれないと思わせるものがあった。
EU、自ら定めたGDPRに違反 裁判所が「異例の賠償金」命令 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
過料ではなく個人情報を適切に扱わなかったことに対する損害賠償400ユーロの支払い命令なのだが、命じられたのが欧州委員会そのものだったのがポイント。
訴えとしては、
・欧州委員会のイベントサイトに登録した個人情報
・米国ビッグテックのサーバーに送られていた
・米国の諜報機関がアクセス可能だった
というもの。記事は「この種の濫訴」を警戒しているが、私は欧州委員会や欧州各国政府への不信が高まるのではと危惧している。あれだけ米国ビッグテックを叩きながら、政府自身はちゃっかりそれらを使っているのだから。トランプ2.0政権の乱暴な言説もあって、欧州人には微妙な判決だったと思う。
これは日本にも波及するかもしれない案件だ。政府によるものとして、例えばマイナンバーによる個人情報の紐づけに対して市民には警戒感がある。特に健康保険証のマイナ化による、医療情報共有には危惧もある。しかも政府クラウドには、ビッグテックも採用されている。
行政による個人情報漏えいに関する訴訟や賠償、第三者委員会であるPPCは行政機関も監督すべきであり、企業に課徴金を・・・という前に中小自治体や独法の引き締めをお考えいただければと思う。
