新たな調査によると、欧州の規制当局が1日あたり400件超のデータ侵害通知に押し流される中、2025年のGDPR制裁金は10億ポンド(12億ユーロ)の大台を突破した。これは、執行が一度頭打ちになった後の新たな局面が、名実ともに到来したことを示唆している。
この数字は、DLA Piperが公表した最新の「GDPR Fines and Data Breach Survey」によるもので、昨年に欧州全域で科された制裁金の総額はおよそ10億ポンド(12億ユーロ)とされ、2024年の9億9,600万ポンドから増加した。前年比の伸びは小幅だが、GDPRが2018年5月に施行されて以降、規制当局は累計で71億ユーロ(62億ポンド)の制裁金を科している。
制裁金の数字は見慣れたものかもしれないが、侵害報告はそうではない。2025年1月28日から現在まで、欧州のデータ保護当局が受け取った個人データ侵害通知は1日平均443件。前年から22%増で、規則施行以来、1日あたりの報告が400件を超えたのは初めてだ。
同社は単一の根本原因を指摘することは避けている。すっきりした説明を提示するのではなく、この調査は複数の問題が同時に起きていると描写する。地政学、繰り返されるサイバーインシデント、そして今や入手が容易になった攻撃ツール――その背後には規制当局側の過負荷もある。組織は現在、NIS2やDORAといった法律の下で拡大するインシデント報告制度と並行してGDPR対応をこなしており、何を開示すべきか、そしてどれだけ迅速に開示すべきかの基準が引き上げられている。
DLA Piperの英国におけるデータ、プライバシー、サイバーセキュリティ部門の責任者であるロス・マッキーン氏は、この数字は単なる統計ではなく警告として読むべきだと述べた。「個人データ侵害通知がこれほど大幅に増加したことが、文書として明確に確認できるのは、私にとって“静かになった炭鉱のカナリア”だ」と同氏は語った。
「さらに、企業に影響を与える新たなサイバーセキュリティ法が相次いでおり、その中には経営機関の構成員に個人責任を課すものもある。当社の報告書は、組織がサイバー防御とオペレーショナル・レジリエンスを最適化する緊急性と必要性を強調している。」
執行面では、上位の顔ぶれはおなじみのままだ。アイルランドが再びランキングを席巻しており、アイルランド・データ保護委員会がGDPR開始以来に科した制裁金の累計は40億4,000万ユーロに達し、この期間に欧州全体で科された制裁金の半分をはるかに超える。次いでフランスとルクセンブルクが続くが、大きく引き離されており、GDPR執行が少数の規制当局によって強く牽引されていることが分かる。
アイルランドはまた、2025年で最大の単一制裁として、違法な国際データ移転をめぐりTikTokに5億3,000万ユーロの罰金を科した。しかし、それでも現在の記録を塗り替えるには至らなかった。記録は2年前、規制当局がMetaに12億ユーロの制裁を科した際に打ち立てられたものだ。巨大テック企業は依然として格好の標的であり、DLA Piperは、記録上のGDPR制裁金の上位10件のうち9件がそこに集中していると指摘している。
7年が経ち、GDPRは本領を発揮しつつあるようだ。制裁は日常化し、侵害報告は再び増加に転じ、書類仕事は相変わらず容赦がない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/22/europes_gdpr_cops_dished_out/
