Jun 2026 – インサイダー脅威に焦点:3,180万ユーロの制裁金が示す情報漏洩対応とリスク管理の教訓
概要
イタリア最大手銀行の一つであるインテーザ・サンパオロ銀行(Intesa Sanpaolo S.p.A.、以下「同行」)において、従業員が2年以上にわたり、業務上の正当な理由なく数千人の顧客の金融情報へ不正にアクセスしていたことが発覚した。対象には政治的に重要な立場にある人物も含まれていた。
問題が明るみに出た後、同行はイタリアの個人情報保護監督機関であるGarante per la protezione dei dati personali(以下「ガランテ」)へ漏洩を報告したものの、その内容は不完全であり、また「すべての」影響を受けた顧客への通知を行わないことを選択した。
これに対しガランテは、同行に対して3,180万ユーロの制裁金を科し、「内部関係者による不正アクセスリスクには、リスクベースの積極的な管理策が必要であり、個人データが持ち出されなかったとしても、閲覧された時点で個人データ侵害と評価され得る」との明確かつ断固としたメッセージを発した。
事実関係
2022年2月21日から2024年4月24日にかけて、同行のアグリビジネス部門に勤務していた従業員が、業務上の必要性がないにもかかわらず、約3,573名の顧客の銀行情報へアクセスしていた。被害を受けたのは、当該従業員の母親、知人、親族のほか、当行の現職および元従業員が含まれていた。
同行が最初に異常を認識したのは2023年10月9日であり、社内アラートによって問題が検知された。
しかし、アクセスログの詳細分析によって不正行為の全容が明らかになったのは2024年7月4日であり、その後懲戒手続きが開始された。そして、当該従業員は2024年8月7日、「正当な理由」により懲戒解雇された。
同行は2024年7月17日、GDPR第33条に基づき個人データ漏洩をガランテへ報告した。しかし、その時点では影響を受けたデータ主体はわずか9名と説明していた。ところが2024年10月初旬に報道機関が、実際には数千人規模の顧客が影響を受けていたことを報じたことで、事案の真の規模が明らかとなった。
銀行側の反論と主張
同行は、自社の対応の妥当性について複数の主張を行った。
セキュリティ対策の適切性について、銀行は、個人データ漏洩が発生したからといって、それ自体が管理者の技術的・組織的措置が不十分であったとは言えないと主張した。また、GDPRはリスクを軽減することを求めているのであり、全ての個人データの漏洩を完全に防止することを要求しているわけではないと説明した。
また、同行は、従業員研修方針、役割ベースの権限付与システム、異常な行動を検知するためのアラート管理システムなど、以前から導入されていた一連の安全対策に言及し、このシステムは漏洩が発覚する以前から強化・更新されていたと指摘した。
同行はさらに、この違反行為は、正規のアクセス権限を持つ従業員による不正利用であり、特に防止が困難であったと主張した。このような行為は、従業員が通常の職務遂行において行う、通常の合法的なアクセス操作と容易に混同されかねないものである。
説明責任(アカウンタビリティ)に関して、同行は、この原則は「管理者が決して誤りを犯してはならない、あるいは侵害が一切発生してはならない」ことを意味するものではなく、もしそのように解釈されれば、あらゆる違反が自動的に説明責任違反に該当することになってしまうと主張した。また今回の事案は従業員による単発的な不正行為であり、その責任を問われるべきではないと述べた。
ガランテの判断
ガランテは同行の主張を退け、GDPR違反を認定した。
- セキュリティ対策の不備
GDPR第5条第1項(f)では、個人データを不正または違法な処理から保護するための適切な安全管理措置を求めている。また、第5条第2項、第24条、第32条では、適切な技術的・組織的措置(Appropriate Technical and Organisational Measures:ATOMs)の導入が義務付けられている。
ガランテは、同行のログ管理、アラート機能、役割ベースの権限管理を含む組織的および技術的な管理措置では、顧客データを適切に保護できていなかったと判断した。また、基本的または一般的な保護措置のみに依存すべきではなく、銀行業務という高リスクな環境を考慮すれば、より高度で強固な対策が必要であったと指摘した。特に問題視されたのは、データ主体の属性や重要性に応じて管理レベルを差別化していなかった点である。従業員に広範なアクセス権を付与し、事後的にのみ監視を行うことは、GDPRの下では不十分である。アクセス権が広範な場合、管理者は、不審な行動を早期に検知・阻止できる、リスクに基づいた追加の管理措置を導入しなければならないとした。
また、同行が「内部関係者による不正利用は本質的に防止が困難である」と主張したことに対し、ガランテは、まさにこのようなリスクこそ事前に予見され、軽減措置が講じられるべきであったと指摘した。内部関係者によるアクセスの検知が困難であることは、管理者の責任を軽減するのではなく、むしろ強固な管理体制を実装すべき責任を一層高めるものである。
説明責任について、ガランテは、説明責任が完璧さを求めるものではなく、他のGDPRの規定に違反したからといって自動的に説明責任が果たされていないことにはならないとの見解を示した。しかし、本件において同行は、自らのリスク評価および安全対策が真に十分であったことを立証できなかったため、その要件を満たしていなかったと判断された。 - データ漏洩の通知
GDPR第33条では、管理者は個人データ侵害を把握した場合、不当な遅滞なく、可能な限り72時間以内に監督機関に通知することが義務付けられている。
同行は2024年7月17日の通知を「完全な報告」であると説明していたが、ガランテは、データ漏洩の実際の規模および影響を受けたデータ主体の数に関して、その通知が大部分において不完全であると判断した。データ漏洩の実態や影響を受けた人数について十分な情報が提供されておらず、真相は報道やガランテ自身による職権調査によって初めて明らかになった。同行が当該事案について適時かつ完全で正確な説明を行わなかったことは、ガランテが監督および介入の権限を行使する能力を著しく阻害されたと指摘した。 - データ主体への通知
ガランテはさらに、同行が影響を受けた「すべての」データ主体に対して、データ漏洩を通知しなかったことにより、GDPR第34条に違反したと認定した。同行の評価とは対照的に、ガランテは、この個人データ漏洩が当該個人の権利および自由に対して高いリスクをもたらす可能性が高いと判断した。その上で、個人情報および銀行口座情報への不正アクセスを受けたすべてのデータ主体に通知を行うよう同行に命じた。
制裁内容
適切な制裁措置を決定するにあたり、ガランテは複数の要素を考慮した。これには、違反の性質、適切な技術的・組織的措置(ATOMs)の欠如、説明責任、インシデント対応の状況、影響を受けた個人の数、ならびに違反の継続期間およびデータ主体の権利への影響が含まれる。これらの要素を総合的に踏まえ、ガランテは3,180万ユーロの行政制裁金を科した。
主なポイント
本件におけるガランテの決定は、組織内部から個人データにアクセスする際に適用される規制上の要件を改めて想起させるものである。
本判決の核心は、内部関係者によるアクセスリスクが、管理者のリスク環境における中心的要素として扱われなければならないことを明確にした点にある。従業員に顧客情報への広範なアクセス権が付与されている環境においては、一般的な安全対策や事後的なレビューに依拠するだけでは不十分である。データ管理者は、不正利用のリスクを事前に予見し、被害が発生する前にこれを検知し制限できる管理措置を講じることが求められる。
さらに、本判決は、データが外部に流出していないという理由のみで情報漏洩を軽微なものとみなすことはできないことを明確にしている。無権限アクセス自体が個人に重大なリスクをもたらし得るものであり、通知義務は実際の損害が確認された場合ではなく、リスクが生じる可能性が高い場合に発生するのである。
総じて言えば、この決定は、GDPRに基づく説明責任が実際にはどのように機能するかを示している。すなわち、厳格責任的な制度としてではなく、管理者がセキュリティ、検知およびインシデント対応の各側面において、リスクに基づく合理的な意思決定を行い、その根拠を説明できなければならない。
今回の決定は、そのことを改めて示した象徴的な事例である。
(※本記事は、英語原文を日本語に翻訳したものです。)
特定のケースにおいて具体的なアドバイスが必要な場合は、Lewis Silkin LLP法律事務所の Abi Frederick弁護士Abi.Frederick@lewissilkin.com まで、ご連絡をお願いいたします。
「イギリスの人事部」ニューレターのお申込みはこちらから
センターピープル(Centre People Appointments)では、雇用法、人事、労働市場、ビザ等の最新情報を 「イギリスの人事部」 のニュースレターにて日系企業様向けに無料で定期配信しています。
ご要望、ご質問、今後取り上げて欲しいテーマ等ございましたら、ご遠慮なく下記E-mailアドレスまでご連絡くださいますようお願いいたします。
Email: reception@centrepeople.com
【バックナンバー】
APR 2026 – Earned Settlementの提案:Skilled Workerスポンサーにどのような雇用法上のリスクが生じるか?
MAR 2026 – 雇用権利法:解雇と再雇用規制は実務上どのように適用されるのか
FEB 2026 – 2026年の世界の雇用法:今年を特徴づける3つの主要トレンド
JAN 2026 – 2026年に雇用法制はどう変わるのか?
NOV 2025 – 「AIで作成された不満申立て」が現実のものに。英国雇用主はどう対応すべきか?
OCT 2025 – 雇用権利法案:我々がまだ知らないこととは?
SEP 2025 – 無給インターンシップの禁止は効果をもたらすか?
JUL 2025 – 職場における医療用大麻:雇用主にとって増大する課題か?
JUN 2025 – 英国政府、純移民数削減を目指す移民制度改革白書を発表
【イギリス・ヨーロッパでのご採用をご検討中の企業様へ】
★採用でお困りなことはありませんか?
センターピープルでは、イギリス・ヨーロッパでの人材採用のお手伝いをしています。
人材のご紹介は、正社員はもちろん、派遣・契約社員や、1日からの短期スタッフ、パートタイム従業員等、幅広く対応が可能です。
いつでもお気軽にお問い合わせをお願いします。
Phone: +44 (0)20 7929 5551
Email: japan@centrepeople.com
センターピープルのグループ会社であるQUICK USA,Inc.は「アメリカの人事部」のニュースレターを米国でビジネスを遂行していくために、必ず知っておかなければならない法律、人事・労務、ビザなどの最新ニュースを在米日系企業様向けに定期的にお届けしております。
ニュースレターをご希望の方はお手数ですが、会社名、ご担当者様氏名、役職、電話番号、ご住所、メールアドレスを明記の上、下記E-mailアドレスまでご連絡くださいますようお願いいたします。
E-mail: info-usjinjibu@919usa.com
クイックグループでは世界の人事部として、世界で活躍する日本のグローバル企業の人材採用サポートを行っております。メキシコ拠点のQUICK GLABAL MEXICOでも「メキシコの人事部」で人材採用から人事・労務に関しての課題解決のための有益な情報を、メキシコの労務、法務、税務等の専門家にご協力いただき、皆様にお届けしております。