個人データを、ビジネスを守る、IIJ

ノルウェー 個人データを中国に違法に移転した道路通行料金徴収受託会社に制裁金の意向


2021.6.7 改訂版SCCに関する解説を公開しました

制裁金の意向

2021年5月5日、ノルウェーのデータ保護監督機関(以下「Datatilsynet」)は、個人データを中国に違法に移転した等を理由として、FerdeAS(以下「Ferde」)に対して、500万ノルウェークローネ(約6千5百万円)の制裁金を課す事前通知を発表した。Ferdeに対しては6月4日までに反論の機会が与えられ、DatatilsynetはFerdeの反論を検討したのちに最終決定を下す予定である。

事案の概要

Ferdeは、Agder、Rogaland、Vestlandの3つの郡によって設立され、委託を受けてノルウェーの有料道路で料金の徴収を行う会社である。
Ferdeは、料金が引き落とされるチップが正しく登録されていない車やチップがない車が通過した場合、車の登録番号(ナンバープレート)の写真撮影をした。撮影された画像は、自動光学式文字認識に送信され、ナンバープレートがデジタルで読み取られる。他方、自動で読み取りができる十分な画質が得られない場合、画像は手動処理に送られる仕組みであった。年間約1千万枚の画像の自動処理と約2千5百万枚の画像の手動処理が行われ、処理画像は、運転手の顔を捉えてはいないが、ナンバープレートを含む車の下部を捉えており、これに加えて、料金所の通過時間に関する情報と通過した数値コードがデータとして記録されていた。
Datatilsynetは、これらナンバープレート等の情報は個人データに該当するとした上で、以下の点がGDPRに反するとしている。

処理契約の要件を欠く

Ferdeは、Unitel Bratseth Services(以下「UBS」)と契約を結び、画像の手動処理を委託していた。しかし、Datatilsynetが確認したところ、処理契約書には日付がなく、事前にGDPR28条3項で要求される処理契約が締結できていたかどうか、確認できなかった。

リスク評価を欠く

USBが従業員に対し個人データの保護の教育を行う旨の書類に日付がない等、少なくとも2017年9月~2019年10月までの約2年間はUSBが適切なデータ保護措置を講じるかどうか、GDPR32条1項d号に基づく適切なリスク評価を行ったとはいえない、とDatatilsynetは認定した。

第三国への移転に関して適法根拠を欠く

UBSは、中国にいる従業員にWebおよびFerdeのシステムを介して画像およびこれらに関連する情報にアクセスさせて手動処理をさせていた。Ferdeは、これがEEA外への第三国への個人データの移転に該当すると認識し、標準データ保護条項(SCC)に基づく適法な移転であると主張したが、Datatilsynetは提出されたSCCに日付がなく、有効な標準データ保護条項の存在を確認できなかったとした。

【Datatilsynetの通知文】

https://www.datatilsynet.no/contentassets/b93cd0f2573a4778b36960acc53c10f1/20_01727-1varsel-om-overtredelsesgebyr.pdf

関連情報

コンテンツ

執行事例関連コンテンツ

GDPR関連コンテンツ

ノルウェー関連コンテンツ

処理契約関連コンテンツ

リスク評価関連コンテンツ

移転関連コンテンツ

GDPR執行事例リスト(2021年4月21日版)
「GDPR執行事例リスト(2021年4月21日版)」は、2018年7月17日~2021年3月31日までの、27ヵ国における執行事例計426件(うちクッキー規制関連25件)の概要を一覧化して、比較分析しやすいようにまとめたナレッジリストです。

サービス

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。

関連記事