エクスペリアン・オランダは、一般データ保護規則(GDPR)に複数違反したとして270万ユーロ(約320万ドル)の罰金を科されました。
オランダのデータ保護当局(AP)によると、信用情報および分析サービス会社であるエクスペリアンは、複数の公的・民間の情報源から不適切に個人データを収集し、顧客に通知していませんでした。
エクスペリアンは世界最大級の信用情報・データ分析会社の一つで、40か国以上で事業を展開しており、銀行や貸金業者が特定の個人や組織と取引するリスクを評価するのを支援しています。
同社はまた、データ保護や信用監視サービスも提供しており、データ漏洩が発生した企業から依頼を受け、顧客の保護や漏洩による潜在的な財務リスクの軽減を支援することもよくあります。
オランダでは、分割払いができなくなったり、電力会社を変更する際に高額な保証金を支払わなければならなくなった人々からの苦情を受け、APがエクスペリアンによる個人データの利用方法について調査を開始しました。
データ保護機関は、これらの問題が、エクスペリアンがサービス提供者や販売業者に提供した信用スコアに起因しており、これが金利や前払い保証金に影響を与えていたことを突き止めました。
「人々は信用調査が行われていることを知らなかったため、使用された情報が正確かどうかをタイムリーに確認することができませんでした」 – Aleid Wolfsen、AP会長
APは、エクスペリアンが商工会議所の商業登記簿や、顧客情報を販売していた通信・エネルギー会社など、複数の公的・民間の情報源からデータを収集していたことを明らかにしました。このデータを使い、「オランダの非常に多くの人々」に関する主要情報を含む大規模なデータベースを構築していました。
同機関は、エクスペリアンが個人情報の収集について人々に通知せず、同意を得ず、なぜそのデータを収集する必要があるのか正当化しなかったと結論付けています。
「2025年1月1日まで、エクスペリアンは個人に関する信用評価を顧客に提供していました」とオランダのデータ保護当局は述べています。
「そのために、同社はネガティブな支払い履歴や未払い債務、破産などのデータを収集していました。APは、エクスペリアンが個人データを不法に利用することで法律に違反していたと認定しました。」
その結果、APは同組織に270万ユーロの罰金を科し、エクスペリアンは自らの行為が違法であったことを認め、APの決定に異議を申し立てないと表明しました。
エクスペリアン・オランダは中央ヨーロッパでのすべての業務を停止し、年内に個人データの全データベースを削除することを約束しました。
