アップルのクックCEOはブリュッセルの国際会議で、GDPRの成立に歓迎の意を表明した(AP/アフロ)

「多額の制裁金が科される第1号案件は、どの企業になるのか」──。目下、世界のIT・法律関係者の間で話題になっているのが、GDPR(一般データ保護規則)の制裁対象として、どの企業が最初の“血祭り”に上げられるかだ。

5月のGDPR施行後、英航空大手ブリティッシュ・エアウェイズでの約38万件の顧客情報流出、フェイスブックでの2900万人の個人情報流出などが、すでに明らかになっている。

「欧州の当局は見せしめ的に制裁を科すことがある。何も起きなければ肩透かしだ」。PwCコンサルティングの山本直樹パートナーが指摘するように、欧州の動きに世界が注目している。

EU(欧州連合)が個人情報の保護を目的に施行したGDPR。これまでにない厳しい個人情報の保護をうたい、人権への意識が高い欧州ならではの内容が特徴だ。中でも注目されているのが制裁金の大きさだ。

「情報漏洩を監督機関に迅速に報告しなかった」「法で定められているデータ保護責任者(DPO)を選任していない」といった場合には、最大で当該企業の世界売上高(年間)の2%もしくは1000万ユーロ(約13億円)のいずれか高いほうが科される。さらに「個人データ処理の原則を守らなかった」「監督機関の命令に従わなかった」といった場合には、最大で当該企業の世界売上高(年間)の4%もしくは2000万ユーロ(約26億円)のいずれか高いほうが科される。