導入:GDPR違反で巨額の罰金
信用情報およびデータ分析サービスを提供するエクスペリアン・ネザーランズが、一般データ保護規則(GDPR)の複数の違反により、270万ユーロ(約320万ドル)の罰金を科されました。オランダのデータ保護庁(AP)は、同社が公共および民間の複数の情報源から個人データを不適切に収集し、顧客に通知していなかったと指摘しています。
エクスペリアンのデータ収集と利用の実態
エクスペリアンは、世界最大級の信用情報機関の一つであり、40カ国以上で事業を展開し、銀行や貸し手が個人や組織との取引リスクを評価するのを支援しています。しかし、オランダでは、分割払いができなくなった人々や、エネルギープロバイダー変更時に高額な保証金を求められた人々からの苦情を受け、APがエクスペリアンのデータ利用方法に関する調査を開始しました。
調査の結果、問題はエクスペリアンがサービスプロバイダーや販売業者に提供していた信用スコアに起因していることが判明しました。これらのスコアが金利や前払い保証金に影響を与えていたのです。APのAleid Wolfsen議長は、「人々は信用調査を認識していなかったため、使用された情報が正確であるかどうかを適時に確認できませんでした」と述べています。
GDPR違反の具体的な内容
APは、エクスペリアンが商工会議所の商業登記簿、通信会社、エネルギー会社など、複数の公共および民間情報源からデータを収集していたことを突き止めました。同社はこのデータを用いて「オランダの膨大な数の人々」に関する主要情報を含む大規模なデータベースを構築していました。
APは、エクスペリアンが個人情報の収集について人々に通知せず、同意を得ず、データ収集の必要性を正当化しなかったと結論付けています。APは、「2025年1月1日まで、エクスペリアンは個人に関する信用評価を顧客に提供していました。これを行うために、同社は負債、未払い債務、破産などのデータを収集していました。APは、エクスペリアンが個人データを不法に利用することで法律に違反したことを発見しました」と述べています。
エクスペリアンの対応と今後の措置
この結果、APはエクスペリアンに270万ユーロの罰金を課しました。同社は自らの活動の違法性を認め、APの決定に異議を申し立てないことを表明しています。エクスペリアン・ネザーランズは、中央ヨーロッパの同国での全事業を停止し、年末までに個人情報データベース全体を削除することを約束しました。