データのプライバシー: 誤解の代償

公開: 2022-10-12

ヨーロッパの一般データ保護規則 (GDPR) が 2018 年 5 月に発効したとき、消費者により強力な保護を提供する新世代のデータ プライバシー法の基盤が確立されました。 明確な同意、データの最小化、目的の制限、異議を唱える権利などのコア原則は、確立されたデータのベスト プラクティスを効果的に法律にまとめました。

それ以来、GDPR スタイルのプライバシー法が世界中で採用されています。 カリフォルニア州の CCPA は米国でボールを転がし始め、他の多くの州 (コロラド、コネチカット、ユタ、およびバージニア) が続くか、または続く過程にあります (ミシガン、ニュージャージー、オハイオ、およびペンシルバニア)。 世界中で、ブラジルで LGPD が導入され、中国で PIPL が導入されました。

データ管理者とデータ処理者が現在直面している課題はあいまいさです。 つまり、これらの新しい法律の重要な条項は実際には何を意味するのでしょうか? 多くの場合、それらは法廷でテストされ、真の意図を明らかにし、法的先例を確立する必要があります。 これは現在ヨーロッパで起こっており、他の場所の開業医はこれらのケースから学び、自国でそれらに違反する前に調査結果を適用できます.

ヨーロッパはデータのプライバシーを取り締まっています

欧州の規制当局は、2022 年に歯をむき出しにしていることは間違いありません。

顔認識企業の Clearview AI は、イタリアのデータ保護機関から 2,000万ユーロの罰金を科され、英国の情報コミッショナーズ オフィス (ICO) からはさらに900 万ユーロの罰金が科されました。

アイルランドの規制当局は、適切な技術的および組織的対策を講じていないとして、Meta (Facebook) に1,700 万ユーロを課しました。

スペインでは、コンテンツの削除リクエストを第三者に転送することをユーザーに強制したとして、Google に1,000 万ユーロの罰金が科されました。

最近では、プラットフォームの使用中に子供のプライバシーを保護できなかった結果、TikTok は、英国のデータ保護法に違反した可能性があるため、2,700万ポンドの罰金に直面する可能性があります。

これらの訴訟に共通するテーマは、「合法性、公平性、透明性」の基本原則です。つまり、企業は、個人データがどのように処理されるかについて個人に対して明確にする必要があり、そのための適切な法的根拠が確立されている必要があります。

英国では、2022 年の施行措置は主に、マーケティング メッセージの無許可の送信に焦点を当てています。 GDPR などの新しいデータ プライバシー法では、マーケティング活動を含む個人データの処理に法的根拠 (通常は同意または正当な利益) が必要です。

最近の事例 * は、この要件がまだ明確に理解されていない (または故意に無視されている!) ことを示しています。

  • Finance Giant Ltd ( £60,000 ): 確認された合計 505,759 件の迷惑なダイレクト マーケティング メッセージの送信を扇動しました。
  • Bizfella Limited ( £30,000 ): 224,550 件の迷惑なダイレクト マーケティング SMS メッセージの送信を扇動しました。
  • H&L Business Consulting Limited ( £80,000 ): ダイレクト マーケティング目的で、451,705 件の未承諾 SMS メッセージの送信を扇動しました。

*読者は、ICO のウェブサイトからすべての判決の全文を入手でき、ICO の「執行措置」ニュースレターを受け取るためにサインアップすることもできます。

消費者は、自分のデータがどのように使用されているかを知りたがっています

これらすべてのケース (およびその他のケース) に共通する重要なテーマは、それらがもともと消費者の苦情によって明るみに出されたということです。 消費者は現在、データのプライバシー権についてより深く理解しており、個人データが悪用されていると思われる場合は、これらの権利を行使する準備ができています。

消費者データを扱うときは、次のことを覚えておくことが重要です。

  • 有効な同意には、個人に真の選択と管理が与えられる必要があります。
  • 個人には、マーケティング メッセージを受け取ることを明示的に通知する必要があります。
  • 同意は、送信者の他のプライバシー ポリシーおよび/または利用規約から分離する必要があります。
  • 間接的な同意は、十分に明確かつ具体的である場合にのみ有効です。
  • 個人が連絡先情報の使用を拒否する簡単な手段が必要です。

一部の企業は、他のプライバシーの落とし穴に陥っています

新しい CRM システムへの移行後、Reed Online は、以前に登録解除/抑制されていた顧客に誤ってマーケティング メールをスケジュールしました。

Tuckers Solicitors がランサムウェア攻撃を受け、個人データが侵害されました。 ICO は、会社が適切な技術的および組織的対策を実施できなかったため、攻撃に対して脆弱になったと判断しました。

英国政府の内閣府は、2020 年の新年の栄誉受賞者の住所をオンラインで公開しました。人々の情報の無許可の開示を防ぐことができませんでした。

多くのデータ プライバシー インシデントは、ニュースの見出しにはなりません

注目を集める侵害がニュースの見出しを飾っていますが、多くのインシデントはもっとありふれたものです。

ICO は四半期ごとにデータ セキュリティ レポートを発行しており、最新の「非サイバー」 (つまり、自傷行為) の問題には次のようなものがあります。

  • 間違った受信者にメール送信されたデータ ( 22% )
  • 不正アクセス ( 14% )
  • 誤った受信者にデータが投稿または FAX 送信された ( 13% )
  • 安全でない場所に残された書類やデータの紛失/盗難 ( 8% )
  • 編集の失敗 ( 6% )

これらの傾向は主に人的ミスや不適切なトレーニングを示しており、堅牢なプロセスによってコンプライアンス違反の機会を最小限に抑える「プライバシー バイ デザイン」の実践を支持する説得力のある議論を示しています。

これが起こらないとは言いませんが、理論的には課せられる可能性のある「世界の収益の 4%」の罰金はまだ実際には見られていません。 ブリティッシュ・エアウェイズ (BA) の罰金は、提案された通り、BA の財務に対する Covid-19 危機の影響を含む、さまざまな緩和要因のために減額される前に、ほぼ確定しました。 プライバシー侵害に対処したい企業はありませんが、プライバシー侵害が発生した場合に考慮される緩和要因があります。

  • 初犯かどうか
  • 侵害の重大性
  • 故意か偶然か
  • 監督当局への積極的な通知
  • データ主体への影響を軽減するために講じられた措置

規制当局は一般的に、何が問題だったかについて透明性があり、調査の支援に協力的であり、再発を防ぐための対策を講じるために迅速に行動する企業に対して、より寛大になります。

これは序章に過ぎない…

このトピックについては、まだまだ語るべきことがたくさんあります。 世界中のデータプライバシー法について詳しく知りたいですか? グローバルなプライバシー法とコンプライアンスのガイドをご覧ください。

ガイドをダウンロード