ある国際法律事務所によると、欧州の人々が受け取ったデータ侵害通知の件数は過去1年で5分の1増加した一方、データ保護当局が科した罰金の総額は横ばいだった。
国際法律事務所DLA Piperは述べたところによれば、EU一般データ保護規則(GDPR)に基づいて科された罰金は2025年に12億ユーロ(14億ドル)に達し、2024年に規制当局が科した総額とほぼ同水準だった。この横ばいは、「減速ではなく、高水準の執行が継続している」ことを示している。
同法律事務所は、この安定した執行状況を、欧州外からの政治的圧力にもかかわらず、データ保護当局が今後も多額の罰金を科し続けることの証左だと位置付けた。DLA Piperの英国データ保護・サイバーセキュリティ部門のパートナー兼チェアであるロス・マッキーン氏によれば、規制当局は人工知能など個別の技術に加え、サプライチェーンのセキュリティも標的にしたという。
「規制当局は、特に情報セキュリティ、国際データ移転、透明性、そしてAIの革新とデータ保護法の複雑な相互作用といった分野で、非常に活発なままだ」と同氏は述べた。
例年同様、2025年に最も多額を支払ったのは米国のテック企業とソーシャルメディア大手だった。欧州の多くの人々が、米国の消費者監視に依拠した慣行は欧州大陸のプライバシー慣行と本質的に相容れないと述べていることを踏まえれば、驚くべきことではない(参照:EUのプライバシー規制当局が科した罰金総額は2024年に減少)。
多くの米国テック大手は欧州事業の拠点をアイルランドに置いている。偶然ではないが、GDPR史上最大の罰金は依然として、2023年にアイルランドのデータ保護委員会がMeta Platforms Irelandに科した12億ユーロである。それでもアイルランドのデータ保護委員会は、米国テック企業を手加減して扱っているとされ、EUの同業当局から強い批判を受けてきた。
アイルランドDPCは2025年にも再び、欧州で最大のGDPR罰金を科し、今回は中国のソーシャルメディア企業TikTokに対して、5億3,000万ユーロに上った。制裁の原因は、TikTokが2020年7月から2022年11月にかけて、利用者に通知したりデータが適切に保護されていることを示したりすることなく、欧州の人々の個人データを中国のサーバーに保存していたことにある。
データの透明性とプライバシー保護に関する欧州の懸念は、歴史的に米国へのデータ移転を中心としてきた。DLA Piperによれば、TikTokへの罰金は、大西洋を越えて流れなかったデータ、ただしEU域外の別の国に関するデータについて科された初の執行措置となった。
本報告書は2025年1月28日から2026年1月27日までを対象としている。今月後半の部分は外挿データに基づく。一部の法域のデータも、すべてのデータ保護当局が国内のデータ侵害統計を公表しているわけではないため、推計に基づいている。ベルギー、ドイツ、イタリア、オランダなど複数の国では、2025年通年のデータが入手できない。
罰金総額:アイルランドが首位
これまでに科されたGDPR罰金の総額ではアイルランドが首位に立つ。2018年5月にGDPRの執行が始まって以来、DPCの制裁は40億ユーロに達したと報告書は述べている。
フランスは大きく離れて2位で、罰金総額は11億ユーロ。ただし報告書は次の注意書きを付している。「フランスでは、GDPRに基づく罰金と、eプライバシー法制など他の制度に基づく罰金を区別できない場合があるため、フランスにおけるGDPRに基づく罰金の合計額は過大になっている可能性がある。」
ルクセンブルクは合計7億4,700万ユーロで3位となった。主因は、同国の国家データ保護委員会(CNPD)が2021年に、当時は社名非公表だった米国のオンライン小売業者兼eコマース・プラットフォームに対し、7億4,600万ユーロの罰金を科したことにある。同国のデータ保護法は、CNPDが企業名を公表したり、事件や意思決定についてコメントしたりすることを禁じている。米国企業の一部、とりわけAmazonは、米国のロードアイランド州より小さいこの国に欧州事業の拠点を置いている。
制裁対象となった企業はAmazon Europe Coreで、同社は2021年10月に罰金を不服として提訴し、続いて2024年1月にルクセンブルク行政裁判所で審理が行われた。2025年3月18日、同裁判所はAmazonの控訴を棄却し、罰金を維持した。Amazonはさらに上訴を試みる可能性がある。
EUでGDPR変更をめぐる議論
欧州委員会は昨年11月、この先駆的なプライバシー法に対する変更案を、デジタル・オムニバス提案という形で公表し、多国間ブロックのデータ保護法を「簡素化し、明確化し、改善する」ことを目指すとした。
変更は規則の合理化とコンプライアンスコストの削減を狙っており、提案には、インシデントを規制当局へ通知するための新たな単一オンライン報告プラットフォームの導入(EUサイバーセキュリティ機関ENISAが維持管理)などが含まれる。また、通知期限を72時間から96時間へ延長し、加盟国のデータ保護当局で構成される欧州データ保護会議(EDPB)に対して「データ侵害通知の共通テンプレート案を作成し、委員会に提出する」ことを求める。
DLA Piperは、単一の報告テンプレートを含む提案は、「一度報告し、何度も共有する」アプローチを実現するためのものであり、GDPR、ネットワーク・情報セキュリティ指令2(NIS2)、デジタル運用レジリエンス法(DORA)に基づく義務が時に重複する問題に対処する狙いもあると述べた。
同事務所は、提案は「信頼や中核的権利を損なうことなく規則を簡素化する」という繊細なバランスが求められるとし、欧州委員会、欧州議会、EU理事会が今年後半に変更を議論する中で、詳細は変わり得ると付け加えた。
英国でより強い執行を求める声
もう一つの執行動向として、英国は昨年、データ侵害通知の件数で4位だったにもかかわらず、英国情報コミッショナー事務局(ICO)によるGDPR執行は「それ以外の点では、EUと比べて英国では引き続き限定的だ」とDLA Piperは述べた。
この傾向は英国国内でも見過ごされていない。市民社会組織、学者、データ保護の専門家70以上が昨年11月、議会の科学・情報・技術特別委員会に対し、ICOによる「執行活動の崩壊」について調査するよう求めた。
この書簡は、いわゆるアフガン・データ侵害を受けて、ICOが国防省を調査しないと決定した後に送られた。これは2022年に、タリバンから逃れる19,000人を特定できるスプレッドシートが漏えいした事案で、データはFacebookに投稿された。前例のない措置として、英国政府はスーパー・インジャンクション(超差止命令)を出し、侵害に関する公的な報道を禁じた。
書簡は、ICOによるGDPR執行のより広範な欠如を指摘した。
「政府と民間部門の双方に対して行動を起こすことを恐れない、強力なデータ規制当局が必要だ」と、書簡の署名者であるOpen Rights Groupの法務・政策担当官マリアーノ・デリ・サンティ氏は述べた。
英国は、Data(Use and Access)Act 2025(DUA法)として知られる国内版GDPR法制の改定を進めており、同法は2025年6月19日に可決され、国王裁可を受けた。DLA Piperによれば、この法律は既存のデータ保護法およびeプライバシー法に対して多数の、ただし「比較的控えめな」変更を加えるもので、主として英国の人々が自動意思決定のためにAIシステムを利用しやすくすることを目的としている。
これらの変更は今年6月まで段階的に導入され、ICOの組織構造の変更、調査を支援する新たな権限の付与、さらに透明性と説明責任の向上を目的とした新たな職務および報告要件などが含まれる。
翻訳元: https://www.databreachtoday.com/breach-notifications-in-europe-rise-while-fines-hold-steady-a-30573
