概要:GDPR違反で巨額の罰金
信用情報およびデータ分析サービスを提供するエクスペリアン・ネザーランズ(Experian Netherlands)が、一般データ保護規則(GDPR)の複数違反により、270万ユーロ(約320万ドル)の罰金を科されました。同社は、公的および私的な複数の情報源から不適切に個人データを収集し、顧客にその事実を通知していなかったとされています。
違反の詳細:同意なきデータ収集と影響
オランダデータ保護庁(AP)は、エクスペリアンが提供する信用スコアが、人々の分割払い能力やエネルギープロバイダー変更時の保証金に影響を与えているとの苦情を受け、調査を開始しました。APの調査により、エクスペリアンが商工会議所の商業登記簿や通信・エネルギー会社など、様々な情報源からデータを収集し、「オランダの膨大な数の人々」に関する大規模なデータベースを構築していたことが判明しました。
APは、エクスペリアンが個人情報の収集について人々に通知せず、同意を得ず、またデータ収集の必要性を正当化していなかったと結論付けました。APのアレイド・ウォルフセン議長は、「人々は信用調査が行われていることを知らなかったため、使用されている情報が正確であるかどうかを適時に確認できなかった」と述べています。
エクスペリアンの対応と今後の措置
エクスペリアンは、自社の活動が違法であったことを認め、APの決定に対して控訴しない意向を表明しました。同社はすでにオランダでの全事業を停止しており、年末までに個人情報データベース全体を削除することを約束しています。
この事例は、企業が個人データを収集・利用する際の透明性と同意の重要性を改めて浮き彫りにするものです。特に、信用情報のような人々の生活に直接影響を与えるデータにおいては、GDPRのような厳格な規制への遵守が不可欠であることが示されました。