世界のプライバシー保護規制対応を支援するサイト

ノルウェー 個人データを中国に違法に移転した道路通行料金徴収受託会社に制裁金の意向


2021.6.7 改訂版SCCに関する解説を公開しました

制裁金の意向

2021年5月5日、ノルウェーのデータ保護監督機関(以下「Datatilsynet」)は、個人データを中国に違法に移転した等を理由として、FerdeAS(以下「Ferde」)に対して、500万ノルウェークローネ(約6千5百万円)の制裁金を課す事前通知を発表した。Ferdeに対しては6月4日までに反論の機会が与えられ、DatatilsynetはFerdeの反論を検討したのちに最終決定を下す予定である。

事案の概要

Ferdeは、Agder、Rogaland、Vestlandの3つの郡によって設立され、委託を受けてノルウェーの有料道路で料金の徴収を行う会社である。
Ferdeは、料金が引き落とされるチップが正しく登録されていない車やチップがない車が通過した場合、車の登録番号(ナンバープレート)の写真撮影をした。撮影された画像は、自動光学式文字認識に送信され、ナンバープレートがデジタルで読み取られる。他方、自動で読み取りができる十分な画質が得られない場合、画像は手動処理に送られる仕組みであった。年間約1千万枚の画像の自動処理と約2千5百万枚の画像の手動処理が行われ、処理画像は、運転手の顔を捉えてはいないが、ナンバープレートを含む車の下部を捉えており、これに加えて、料金所の通過時間に関する情報と通過した数値コードがデータとして記録されていた。
Datatilsynetは、これらナンバープレート等の情報は個人データに該当するとした上で、以下の点がGDPRに反するとしている。

処理契約の要件を欠く

Ferdeは、Unitel Bratseth Services(以下「UBS」)と契約を結び、画像の手動処理を委託していた。しかし、Datatilsynetが確認したところ、処理契約書には日付がなく、事前にGDPR28条3項で要求される処理契約が締結できていたかどうか、確認できなかった。

リスク評価を欠く

USBが従業員に対し個人データの保護の教育を行う旨の書類に日付がない等、少なくとも2017年9月~2019年10月までの約2年間はUSBが適切なデータ保護措置を講じるかどうか、GDPR32条1項d号に基づく適切なリスク評価を行ったとはいえない、とDatatilsynetは認定した。

第三国への移転に関して適法根拠を欠く

UBSは、中国にいる従業員にWebおよびFerdeのシステムを介して画像およびこれらに関連する情報にアクセスさせて手動処理をさせていた。Ferdeは、これがEEA外への第三国への個人データの移転に該当すると認識し、標準データ保護条項(SCC)に基づく適法な移転であると主張したが、Datatilsynetは提出されたSCCに日付がなく、有効な標準データ保護条項の存在を確認できなかったとした。

【Datatilsynetの通知文】

https://www.datatilsynet.no/contentassets/b93cd0f2573a4778b36960acc53c10f1/20_01727-1varsel-om-overtredelsesgebyr.pdf

関連するブログ

関連記事