英国の個人情報保護監視機関は、不正な情報管理者に科した罰金の半分程度しか回収しておらず、スパムマーケティング会社に科した罰金が未払いのままになる可能性が最も高い。
情報公開法に基づいて公表された数字によると、情報コミッショナー事務局は2010年以降、データ保護およびマーケティング法に違反した企業に約1,780万ポンドの罰金を科したが、政府の財源に入ったのはわずか970万ポンドで、回収率は54パーセントとなっている。
ICOは、英国のデータ保護法(DPA)またはマーケティングの電子メールや電話を規制するプライバシーおよび電子通信規則(PECR)のいずれかに違反していると判断した組織に罰金を科すことができます。
資金は財務省の統合基金に支払われます(ICO の利益にはなりません)。
大まかに言えば、何百万件もの自動迷惑電話を発信する企業は、主にPECRに違反していることが判明しており、一方で、機密情報が詰まったDVDを紛失した当局や、ハッキングの危険にさらしている企業は、DPAに基づき罰金を科せられることになる。
DPA に基づく罰金は PECR に基づく罰金よりも高くなる傾向があり、それぞれ最高額は 70,000 ポンドと 50,000 ポンド、中央値は 85,000 ポンドと 75,000 ポンドです。
たった9950万件の迷惑電話…そしてKeurBOOM!40万ポンドの巨額罰金
続きを読む
しかし、どちらの場合も最高額の罰金は40万ポンドです。EUは最高50万ポンドの罰金を科すことができますが、一般データ保護規則(GDPR)の下では、世界売上高の4%または2,000万ユーロに増額されます。
しかし、情報公開法の調査結果により、こうした高額の罰金の抑止効果に疑問が生じている。
要請書は、ザ・レジスター紙と、長年にわたり迷惑メール対策キャンペーンを展開している読者のロバート・ライコフ氏によって提出されたもので、ICOに対し、2010年から2018年4月の間に罰金を科されたデータ管理者のうち、何人が全額または一部を支払ったかを尋ねた。これは、ICOのウェブサイト(CSVファイルをダウンロード)で公開されている民事罰金リストに基づいている。
調査によると、この期間中に罰金を科せられたデータ管理者174社のうち43社は罰金の半分以下を返済しており、このうち38社は罰金を一切返済していないことが明らかになった。
全額を返済したのはわずか14名で、さらに115名がICOの早期支払い割引(28日以内に支払うと20%割引)を利用しました。ある管理者は81%を、別の管理者は83.3%を支払っています。
未払いの罰金のほとんどは、PECR違反に対するものでした。この規則に基づいて科された84件の罰金(総額850万ポンド)のうち、約半数は総額の80%以上を支払っていません。
これらの規則に基づいて20万ポンド以上の罰金を科せられたパン会社3社のうち、多額の金額を支払ったのはニューデイ社1社だけで、同社は今年、23万ポンドの罰金の80%を支払った。
対照的に、DPAが科した90件の罰金(総額930万ポンド)のうち、3件を除いてすべて支払われており、現金を支払った人の大半は罰金が科されてから28日以内に支払っている。
大罰金?ビジネスはクールブームに!
ICOは、管理者が罰金を全額支払わない理由は様々であり、控訴によって罰金の支払いを遅らせたり、免除したり、あるいは免除したりできることを強調した。クリストファー・ニーベル氏は2013年10月に30万ポンドの罰金に対する控訴に成功した。さらに、一部の組織は分割払いを選択するため、正確な金額は定期的に変更される可能性がある。
しかし、数字は明らかに回収率がこれを上回る低さを示しており、その根底には長年ICOを悩ませてきた問題があります。巨額の罰金を科せられると、一部の企業は支払いを回避するために清算を選択するのです。
これは、PECRに基づき罰金が科される傾向にある迷惑電話会社に特に当てはまります。2017年に9,950万件の迷惑電話を行ったとして40万ポンドの罰金を科されたKeurboom Communicationsは、罰金が発表された時点で既に清算されていました。
同様に、Your Money Rights が2017年に35万ポンドの罰金を科された後、取締役は直ちに会社の解散を求め、罰金は未払いのままである。一方、ProDial Ltd は、ICOが2016年に正式に35万ポンドの罰金を科した時点ですでに清算を求めていた。
メディア・タクティクスは、6か月前に27万ポンドの罰金を科された後、昨年10月に清算人を任命しました。チェック・ポイント・クレームズは2016年に25万ポンドの罰金を科され、昨年解散しました。
decoded:Legalのテクノロジー弁護士、ニール・ブラウン氏は、取締役が会社を清算し、新しい名前で再出発することが多いことをコミッショナーが公に認めていることを考えると、「回収率が低いことは特に驚くべきことではない」と述べた。
ICOは取締役の責任を問う
この問題を解決するため、ICOは繰り返し企業の取締役に直接責任を負わせる権限を求めてきた。これは政府が2016年にICOに約束したものの、いまだ実現していない。
エリザベス・デナム氏は、この数字についてザ・レジスター紙に送った声明の中で、「政府が2016年に、取締役自身に迷惑マーケティングの責任を負わせる法改正の計画を発表したことを歓迎した」と述べた。
迷惑な電話、テキストメッセージ、メールで故意に人々を妨害しようとする者に対して、真の抑止効果を発揮するはずです。この法改正が早期に実現し、この現代の脅威から国民を守るための手段が増えることを願っています。
デジタル・文化・メディア・スポーツ省に、この計画がまだ検討されているか尋ねたが、同省は直接的な回答はせず、「規則に違反した場合には企業の取締役が責任を問われるよう、規制当局と協力することに尽力しており、詳細は近日中に発表する」と述べた。
ICOはThe RegisterへのFOI回答の中で、他の規制当局や政府と協力して取締役に対する強制措置を講じるなど、「通常は資産の回収を試みる」と述べた。
これには、他の会社の取締役を務めることを禁止することも含まれており、これは今年、コールドコールエリミネーションの取締役リア・キンバリー・マスターズ氏(2015年に7万5000ポンドの罰金を科せられた)とリアクティブメディア社の取締役トニー・レイ・アボット氏(2014年に5万ポンドの罰金を科せられた)のケースで使用された選択肢である。
しかし、データ管理者が依然として罰金を支払わずに逃れているという事実は、ICO の罰金を科す権限を弱めていると言えるだろう。これは、GDPR のもとで ICO が科せる罰金の額が増額されたことを踏まえると、より重要視されるようになったことだ。
「罰金は、データ保護の枠組みの遵守を促すためにICOが利用できる仕組みの一つに過ぎないが、もし罰金が簡単に逃れられるのであれば、その抑止力は失われる」とブラウン氏は述べた。
「ICOが取締役に個人責任を負わせようとしてきた理由は理解できるでしょう。」®
