ジョーンズ・デイ・コメンタリー:フランスデータ保護当局、データコントローラのセキュリティ義務違反に対する厳しい執行態度
フランスのデータ保護当局(CNIL)は、2018年5月7日、「基本的なセキュリティ対策」を欠いており、顧客の個人情報に対するセキュリティ義務に反していたとして、Optical Center社に25万ユーロの罰金を課しました。
本件におけるCNILの議論を見ますと、ウェブサイトを運営する各企業は、個人認証を行うアクセス制限を設けること、セキュリティ監査を実施すること、ウェブサイトの作成等に関するサプライヤーとのやり取りは書面で行うこと、ウェブサイトの更新等の際には、検証手続きを書面化し、検証の実施記録を残すこと、といった最低限のセキュリティ対策をする必要があると言えます。
本件は、GDPR施行前から、セキュリティ義務違反に対しCNILが厳しい執行を行っていたことを示すものです。GDPRが施行された現在においては、セキュリティ義務違反に対してさらに高額な罰金が課される可能性があり、各企業においては十分なセキュリティ対策が適切に実施されているかについて確認する必要があります。
詳細は、Jones Day Commentary “French Data Protection Authority Confirms Enforcement Trend on Security Obligations for Data Controllers” (英語版オリジナル)をご参照ください。
本件におけるCNILの議論を見ますと、ウェブサイトを運営する各企業は、個人認証を行うアクセス制限を設けること、セキュリティ監査を実施すること、ウェブサイトの作成等に関するサプライヤーとのやり取りは書面で行うこと、ウェブサイトの更新等の際には、検証手続きを書面化し、検証の実施記録を残すこと、といった最低限のセキュリティ対策をする必要があると言えます。
本件は、GDPR施行前から、セキュリティ義務違反に対しCNILが厳しい執行を行っていたことを示すものです。GDPRが施行された現在においては、セキュリティ義務違反に対してさらに高額な罰金が課される可能性があり、各企業においては十分なセキュリティ対策が適切に実施されているかについて確認する必要があります。
詳細は、Jones Day Commentary “French Data Protection Authority Confirms Enforcement Trend on Security Obligations for Data Controllers” (英語版オリジナル)をご参照ください。
