GDPRの処理活動記録の整備不備による巨額の制裁金リスクと重要判例の解説
GDPRの数あるコンプライアンス要件の中でも、特に実務において軽視されがちでありながら、発覚すれば企業へ致命的な財務的打撃をもたらすのが、GDPR第30条が定める「処理活動記録」(Records of Processing Activities)の整備義務に対する不備です。処理活動記録とは、企業がどのような個人データを、何の目的で、誰と共有し、どれほどの期間保存し、どのようなセキュリティ対策のもとで保護しているかを網羅的に文書化した法的な台帳です。欧州各国のデータ保護機関は、企業のコンプライアンス体制を監査する際や情報漏えい事案の調査を開始する際、まず間違いなくこの処理活動記録の提出を第一に求めます。
GDPR第83条第4項に基づき、処理活動記録の維持義務違反は、最大1000万ユーロ、または前会計年度の全世界年間売上高の2%のいずれか高い方の金額を上限とする制裁金の対象となります。しかし、リスクはこれだけに留まりません。記録の不備は、「適法な処理の欠如」や「透明性の欠如」といったGDPRの根幹を成す基本原則の違反と連動して発覚することが多く、このような重大な違反が認定された場合、実際の制裁金は最大2000万ユーロまたは全世界年間売上高の4%という天文学的な数字に跳ね上がります。近年、監督機関はデータガバナンスの欠如を見過ごさず、見せしめとも言える巨額の制裁金を科す事例が相次いでいます。
本記事では、GDPRの処理活動記録の整備不備による巨額の制裁金リスクと実際の事例を取り上げて詳しく解説します。
この記事の目次
処理活動記録の法的意義と制裁金の構造
欧州連合のデータ保護法制において、処理活動記録の整備義務は、企業がデータ主体に対して責任を果たすための「アカウンタビリティ(説明責任)の原則」を具現化する中核的な制度として位置づけられています。これは、データ管理者およびデータ処理者が自ら行うすべての個人データ処理活動について、詳細かつ正確な記録を自発的に保持し、監督機関からの要求に即座に応じられる状態を維持することを求めるものです。
GDPR第30条が定める網羅的な記録義務の全容
GDPR第30条は、データ管理者に対して、その責任下で行われるあらゆる処理活動の記録を保持することを明確に義務付けています。ここで求められる記録は、単なるデータのリストではなく、データ処理のライフサイクル全体を可視化する精緻なマッピング文書です。
GDPRが定める処理活動記録の整備義務については、以下の記事にて詳しく解説しています。
GDPR第83条に基づく制裁金の上限と算定基準の厳格性
GDPRの制裁金制度は、企業の規模や違反の重大性に応じて柔軟に適用される一方で、違反企業に対して多大な経済的打撃を与え、将来の違反を断念させるよう強力に設計されています。GDPR第83条第1項は、制裁金が各個別のケースにおいて「有効であり、均衡がとれており、かつ抑止力のあるもの」でなければならないと定めています。
処理活動記録に関する第30条の義務違反は、GDPR第83条第4項の対象として分類されます。この項に違反した場合、監督機関は最大1000万ユーロ、または企業の前の会計年度の全世界年間売上高の2%のいずれか高い方の金額を上限として制裁金を科す権限を持ちます。これだけでも事業に重大な影響を及ぼす金額ですが、実務上、処理活動記録の不備が単独で摘発されるケースは稀です。監督機関が記録の不備を発見した場合、それは企業が自らのデータ処理状況を把握していないことを意味し、結果として「適法な処理の根拠(第6条)」が欠如している、あるいは「データ主体に対する透明性のある情報提供(第13条および第14条)」が行われていないといった、GDPRの根幹に関わる重大な違反へと調査が拡大します。これらの基本原則に対する違反は、GDPR第83条第5項の対象となり、制裁金の上限は最大2000万ユーロ、または全世界年間売上高の4%という最高レベルの枠へと引き上げられます。
監督機関が実際の制裁金額を算定する際には、GDPR第83条第2項に列挙された多数の要素が厳格に考慮されます。これには、違反の性質、重大性、期間、関係するデータ主体の数および彼らが被った損害の程度、違反が故意に行われたか過失によるものか、被害を軽減するために企業が講じた措置、過去の違反歴、そして監督機関に対する協力の度合いなどが含まれます。欧州のデータ保護機関は、企業が処理活動記録を整備していないという事実を、単に法律を知らなかったという過失ではなく、コンプライアンスに対する組織的な怠慢であり、データ主体の権利を軽視している明確な証拠として重く評価します。
高度なデータ処理における処理活動記録の不備と重要判例
ポーランドUODOによるToyota Bank Polska SAへの制裁
2024年にポーランドのデータ保護機関が下した決定は、金融機関におけるプロファイリングの実態とコンプライアンス体制の欠如に厳しい審判を下すものでした。ポーランドのデータ保護機関は、Toyota Bank Polska SAに対して、GDPR違反を理由に57万6220ズウォティの制裁金を科す決定(決定番号:DKN.5112.14.2022)を下しました。この事件の決定に関する公式な概要は、ポーランドのデータ保護機関の情報を報じるデータガイダンスのウェブサイトで確認することができます。
この事案の最大の焦点は、同銀行が顧客の信用度を評価し、クレジットリスクのスコアを割り当てるために、長期間にわたり極めて広範な個人データのプロファイリングを行っていたことにあります。金融機関が与信判断のために顧客データを分析しプロファイリングを行うこと自体は、ビジネスの性質上珍しいことではありません。しかし、データ保護機関の監査により、同銀行はこの大規模かつ顧客の権利に対して高リスクなプロファイリング活動を、GDPR第30条が義務付ける処理活動記録の台帳に全く記載していないことが発覚しました。
処理活動記録に重要な処理活動の記載がないということは、組織の経営層やコンプライアンス部門が、そのデータ処理の存在自体や、それに伴うプライバシー上のリスクを客観的に把握し、評価できていないことを意味します。当然の結果として、同銀行はこのような高リスクな処理を開始する前にGDPR第35条によって義務付けられているデータ保護影響評価を実施していませんでした。データ保護影響評価は、新しい技術を利用する処理やプロファイリングなど、個人の権利や自由に高いリスクをもたらす可能性が高い場合に、そのリスクを事前に特定し、軽減するための措置を講じるための必須のプロセスです。個人の経済状況や信用を自動的に評価し、融資の可否という重大な法的効果をもたらすプロファイリングにおいて、記録も影響評価も行われていなかった事実は、データ保護の基本原則を根底から軽視しているものと見なされました。
さらに、この事件では組織の体制構築における重大な欠陥も厳しく指摘されました。GDPR第38条は、データ保護責任者がその任務を遂行する上で高い独立性を保ち、管理者からの指示を受けないこと、そして組織の最高経営層に直接報告することを求めています。しかし、同銀行のデータ保護責任者は経営陣に直接報告する体制になっておらず、データ処理の実務やセキュリティシステムを統括するセキュリティ部門のディレクターの部下として配置されていました。データ保護機関は、データ処理を推進しシステムを構築する立場の部門長に、それを監視・監査すべきデータ保護責任者が従属している状況は、明らかな利益相反を生じさせており、データ保護責任者が適切に機能していないと認定しました。
この判例から、処理活動記録の不備が、データ保護影響評価の欠如やデータ保護責任者の機能不全といった組織全体のガバナンスの欠如を連鎖的に露呈させる典型的な事例であるということが言えるでしょう。台帳に一つ記載を忘れたという単純な過失ではなく、高リスクなデータ処理を組織的に統制し監視する仕組みが完全に不在であったことが、制裁金の明確な根拠となったのです。
イタリアGaranteによるFoodinho S.r.l.への巨額制裁
労働管理におけるアルゴリズムの利用と処理活動記録の密接な関連性について、欧州全域に強烈な警鐘を鳴らしたのが、イタリアのデータ保護機関が2021年7月5日に公表したFoodinho S.r.l.に対する制裁決定です。Foodinho社は、世界的なフードデリバリープラットフォームであるGlovoグループのイタリア法人であり、この決定においてイタリアのデータ保護機関は同社に対してなんと260万ユーロ(約3億円)という極めて高額な制裁金を科しました。この判決に関する公式なプレスリリースおよび詳細は、イタリアのデータ保護機関の公式ウェブサイトで確認することができます。
この事件の背景には、同社が約1万9000人もの配達員の労働管理を、デジタルプラットフォーム上の複雑なアルゴリズムと、内部のスコアリングシステムに完全に依存していたという事実があります。このシステムは、配達員のスマートフォンから取得されるGPSの位置情報、受注から配達までのルート、配達にかかった時間、顧客からのフィードバック、使用する車両の種類、さらには過去の業務パフォーマンスの予測に至るまで、膨大な個人データを絶えず収集し、プロファイリングを行っていました。そして、このアルゴリズムが、どの配達員に有利な配達スロットを割り当てるか、あるいはどのアカウントを無効化するかといった、配達員の生計と労働機会に直結する意思決定を完全に自動化して行っていたのです。
データ保護機関の徹底的な調査により、同社のGDPR対応がいかに杜撰なものであったかが次々と明らかになりました。特筆すべきは、GDPR第30条に基づく処理活動記録の極めてずさんな管理状態です。調査において、同社の記録台帳には以下の重大な不備があることが指摘されました。
第一に、アルゴリズムによる評価やスコアリングの計算に用いられている複数の重要な個人データのカテゴリーが、処理活動記録に全く記載されていませんでした。アルゴリズムがどのようなデータを入力値として労働者を評価しているのかが記録されていなければ、データ処理の透明性も、データ最小化の原則も証明しようがありません。
第二に、収集された膨大なデータに関する保存期間の具体的な規定が欠落していました。GDPRのストレージ制限の原則により、個人データは目的達成に必要な期間を超えて保持してはなりませんが、同社はこの基準を記録台帳に定めておらず、実質的に労働者の位置情報や評価データを無期限に蓄積・利用しうる状態にありました。
第三に、GDPR第32条で求められる技術的および組織的な安全管理措置の記載が一切存在しませんでした。数万人規模の位置情報や業務評価という機微なデータを扱う大規模プラットフォームでありながら、それをサイバー攻撃や内部不正からどのように保護しているかの一般的な説明すら台帳に記載されていなかったのです。
第四に、システム上、処理活動記録自体の変更履歴を追跡・監査できない仕様になっていました。法的文書である台帳がいつ、誰によって、どのように書き換えられたのかが追跡できない状況は、アカウンタビリティの観点から致命的な欠陥とされました。
これらの記録の不備は、GDPR第22条が厳格に制限する「プロファイリングを含む自動化された個人に対する意思決定」に関する重大な違反と直結していました。同社は、配達員に対してアルゴリズムがどのように機能しているかについての十分な情報を提供しておらず、アルゴリズムの不当な決定に対して配達員が異議を申し立て、人間の介入を求めるための具体的な仕組みやチャネルを構築していませんでした。
この判例から、システム仕様やアルゴリズムの設計段階から綿密なデータマッピングを行い、それを法的文書である処理活動記録に正確に反映させることがいかに重要であるかということが言えるでしょう。処理活動記録に記載のないデータを用いてアルゴリズムを稼働させることは、いわばブラックボックスによる違法操業と見なされ、結果として事業の根幹を揺るがす巨額の制裁金を招くことになります。
欧州司法裁判所の判決による法人の直接責任
データ保護違反に対する制裁金の執行実務において、各国のデータ保護機関の権限を飛躍的に強化し、企業側の防衛戦術を無効化する決定的な司法判断が下されました。それが、2023年12月5日に欧州司法裁判所が下した判決(事件番号 C-807/21)です。この判決の原文は、EUの公式法令・判例データベースであるEUR-Lexで参照することができます。
自然人の特定を不要とする画期的な判断の衝撃
この事件は、ドイツのベルリンのデータ保護機関が、大手不動産会社に対して約1450万ユーロという巨額の制裁金を科したことに端を発します。違反の理由は、同社が不要になった過去のテナントの個人データや財務記録を、適切な保存期間の制限を設けることなく、アーカイブシステムに過剰に長期保存していたというものでした。これもまた、処理活動記録においてデータの保存と消去のポリシーが適切に設定されず、運用されていなかったことに起因する典型的なコンプライアンス違反です。
この制裁処分に対し、不動産会社側はドイツの国内法である秩序違反法の解釈を盾に反論し、訴訟を提起しました。当時のドイツ国内法の解釈では、法人に対して行政罰や制裁金を科すためには、経営陣や管理職など、特定の自然人による過失や違反行為を具体的に特定し、証明する必要があるとされていました。不動産会社は、「自社の巨大なシステムの中で、具体的に誰の指示で、あるいは誰の過失によってデータが消去されなかったのかが特定されていない以上、法人に対する制裁金は無効である」と強く主張したのです。
しかし、欧州の最高司法機関である欧州司法裁判所は、この会社側の主張を明確に退けました。欧州司法裁判所は、GDPR第83条に基づく制裁金の対象となる「事業体(法人)」の概念は、欧州連合の競争法における制裁金の概念と同様に解釈されるべきであるという判断を下しました。すなわち、法人は、自らのために行動する従業員や代理人の行為に対して直接的に責任を負う主体であり、法人に制裁金を科すために特定の経営陣や従業員などの個人を特定する必要は一切ないとしたのです。
つまり、監督機関は「社内の誰がミスをしたのか」という犯人探しや個人の責任を追及することなく、データ管理者たる法人自体がGDPRに違反する状態を作り出していたという組織としてのコンプライアンス体制の不備のみをもって、法人に巨額の制裁金を科すことが完全に正当化されました。
故意または過失のハードル低下と企業が直面する財務リスクの増大
さらに欧州司法裁判所は、制裁金を科すための要件として企業による「故意または過失」が必要であるとしつつも、その過失の認定ハードルを極めて低く設定しました。裁判所は、企業が「自らの行為がGDPRに違反する性質のものであることを知らないはずがなかった」状態であれば、個別具体的な条文違反に対する明確な認識がなくとも、過失責任が問われると判示しました。
これらの判例の蓄積から、処理活動記録の不備は単なる書類上の軽微なミスとして見過ごされることは決してないということが言えるでしょう。保存期間の管理がシステム上で機能していなかったという客観的な事実があれば、「担当者が退職して引き継がれていなかった」といった社内の個人的な事情は一切の免責事由になりません。企業は、データ処理の適法性を担保する組織的および技術的システムを構築する直接の義務を負っており、その欠陥はダイレクトに法人の甚大な財務リスクへと直結するのです。
欧州市場でのビジネス展開に向けた総括と法務戦略
欧州連合市場におけるGDPR対応において、第30条に基づく処理活動記録の整備は、単なる形式的な事務手続きではなく、企業が自らのデータ処理活動に対する説明責任を果たすための最も重要で基礎的な要件です。ポーランドの銀行の事例やイタリアのフードデリバリー企業の事例が明確に示している通り、プロファイリングやアルゴリズムを用いた高度なデータ処理を行っているにもかかわらず、それを処理活動記録に正確に反映させていない場合、監督機関はこれを単なる記載漏れとは見なしません。組織的なガバナンスの崩壊として極めて重く評価され、その結果、最大2000万ユーロまたは全世界年間売上高の4%という、企業の存続を脅かしかねない巨額の制裁金が科されるリスクが現実のものとなります。
さらに、欧州司法裁判所の判決により、違反行為に関与した特定の個人を特定せずとも、企業組織としてのコンプライアンス体制の不備のみをもって法人に対して直接的に巨額の制裁金を科すことが法的に正当化されました。日本の個人情報保護法が求める限定的な記録義務の感覚のまま欧州市場の基準に対峙することは、無防備な状態で極めて厳格な規制環境に飛び込むことに等しい危険な行為です。日本企業は、データ処理の全ライフサイクルを網羅的にマッピングし、適法性、透明性、データ最小化といったGDPRの基本原則を組み込んだ堅牢な処理活動記録を、事業展開の初期段階から構築し、継続的に維持していくことが不可欠です。
まとめ:実務的なガバナンスの構築は弁護士に相談を
GDPR第30条の処理活動記録(RoPA)は、単なる法務上の「備忘録」ではなく、企業のデータガバナンスの成否を映し出す鏡です。ポーランドやイタリアでの重要判例は、記録の欠落が「不透明なデータ処理」や「アルゴリズムの暴走」とされ、致命的な制裁金に直結することを証明しました。
欧州司法裁判所の判断により、個人の過失を特定せずとも法人としての組織的不備のみで制裁が可能となった今、企業に言い訳の余地はありません。日本企業は、日本の制度との埋めがたい基準差を再認識し、システム設計の初期段階からRoPAを組み込む「プライバシー・バイ・デザイン」を徹底すべきです。継続的な更新と厳格な管理こそが、欧州市場における最大の防御策となります。
当事務所による対策のご案内
モノリス法律事務所は、IT・インターネット・ビジネスに特化した法律事務所です。近年、グローバル展開を進める企業やBtoB SaaS事業者において、GDPRをはじめとする各国の個人情報保護法制への対応の必要性が急速に高まっています。 当事務所では、GDPRに基づくデータ処理契約(DPA)のレビューやドラフティング、プライバシーポリシーの改定、さらにはシステム仕様が法的要件を満たしているかどうかのリーガルチェックなど、国際的なデータガバナンスに関する専門的なサポートを提供しております。詳細な情報の確認や、具体的な案件の相談についてお問い合わせください。
カテゴリー: IT・ベンチャーの企業法務
