Experian Netherlandsは、一般データ保護規則(GDPR)に違反したとして、オランダのデータ保護当局(AP)から270万ユーロの罰金を科されました。
規制当局は、この信用情報・分析会社が、個人に適切に通知したり同意を得たりすることなく、公的および民間の情報源から個人データを収集・利用していたと認定しました。
APは、サービス提供事業者から異常に高い保証金を求められたり、分割払いプランを拒否されたりしたと訴える消費者からの苦情を受けて調査を開始しました。
同庁は、通信会社、エネルギー供給事業者、オンライン小売業者が使用するExperianの信用スコアが、そうした判断に関与していたと判断しました。
APによると、Experianは商工会議所の商業登記簿や、顧客情報を販売していた通信・エネルギー企業など、複数の情報源からデータを入手していました。
これらのデータは、数百万人のオランダ居住者に関する詳細を含む大規模なデータベースにまとめられていました。
規制当局は、Experianが収集した情報の範囲や、それを利用する必要性を正当化できないと結論づけました。
「人々は信用チェックが行われていることを知らなかったため、使用された情報が正確かどうかを確認できなかった」と、APの議長であるAleid Wolfsen氏は述べました。
欧州で進化するデータプライバシー規制について詳しく読む:データプライバシー週間:デジタルライフを自分でコントロールする方法
Experianの信用力レポートには、支払い行動、未払い債務、破産などの情報が含まれていました。これらのレポートは、顧客が契約条件や保証金額を決定するために使用していました。スコアが低い個人は、より厳しい条件や追加費用に直面することが多くありました。
ImmuniWebのCEOであり、英国コンピュータ協会(BCS)のフェローでもあるIlia Kolochenko氏は、影響を受けた人の数は相当なものになり得ると述べました。
「この特定の事案において、Experianによって個人データが処理された影響を受けたEU居住者の総数は不明のままですが、おそらく数百万人規模の話でしょう」と同氏は述べました。
Kolochenko氏は、英国ではExperianが「最大で5100万人の英国居住者に関する情報を収集していた」と指摘し、EUでも同程度の規模であることは「容易に推定できる」と示唆しました。
同氏はさらに、「問題となっている個人データは、GDPRの白紙のインクで明示的にそうラベル付けされていないとしても、極めて機微性が高い」とし、その悪用は「長期にわたる実質的な損害」を引き起こし得ると付け加えました。
Kolochenko氏によれば、「オランダDPAの罰金は驚くほど軽く寛大に見える」とのことで、今後「物的損害および非物的損害の双方に対する私的訴訟」を含むさらなる法的措置が見込まれるといいます。
Experianは違反を認め、罰金を不服として争わないと述べました。同社はオランダでの事業を停止しており、年末までに個人情報のデータベース全体を削除する計画です。
この事案は、消費者データがマーケティングおよびリスク評価目的でどのように収集・利用されているかをめぐり、英国の規制当局による執行措置が行われたことに続き、欧州における大手信用情報機関への継続的な監視をさらに強めるものとなりました。
画像クレジット:JHVEPhoto / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/experian-fined-gdpr-breach/
