顧客の個人情報や医療データを含む約50万点の文書を、店舗の裏にある施錠されていない倉庫に放置していた薬局が、ICOが一般データ保護規則に基づき科した罰金27万5000ポンドを科された。
英国のデータ監視機関である情報コミッショナー事務局は、ロンドンに拠点を置き、個人顧客と介護施設の両方に医薬品を供給しているドアステップ・ディスペンサリー社が記録の保管に失敗したと述べた。データには、住所、生年月日、NHS(国民保健サービス)の電話番号、処方箋など、人数不明の人々に関する情報も含まれていた。
ICOは、2016年6月から2018年6月までの文書の一部が風雨にさらされ、その結果雨水で損傷したと主張した。
ICOは、不正または違法なアクセス、紛失、破壊、または損傷を防ぐために安全な状態でデータを処理できなかったことがGDPRに違反していると述べた。これは罰金の額に反映されており、監督機関は2018年5月25日のGDPR導入以来初めての罰金だと主張している。
GDPR:2018年に企業に恐怖を与えた4つの手紙
続きを読む
ICOの調査責任者であるスティーブ・エッカーズリー氏は声明を発表した。
「ドアステップ・ディスペンサリーは、特別なカテゴリーのデータを不注意に保管していたため、偶発的な損傷や紛失から保護することができませんでした。これは法律で求められている水準にも、人々の期待にも及ばないものです。」
ICOは、薬局に対する独自の調査を行っていた医薬品・医療製品規制庁から、書類の物理的セキュリティが不十分であるとの報告を受けていた。
ドアステップ・ディスペンサリーには、27万5千ポンドの罰金に加え、3か月以内にデータ保護プロセスを強化しなければさらなる強制措置を受けるという強制通知(PDF)が発行された。
1月31日に英国が予定通りEUを離脱した場合、ブレグジットを契機に一部の条文が変更され、「英国GDPR」が制定される法定規則が発効します。この小さな王国の2018年データ保護法も改正されます。予想される変更内容はこちらをご覧ください。®
