例えば、今回のケースでは、ホテル側が情報漏えい時のリスクを分析し、必要なセキュリティー対策を予約サイトに指示し、その順守をチェックしていたのか、はたまたホテル側が情報漏えい発覚から72時間以内に欧州の監督機関への通知を行ったのか、といった点が問われるとみられている。その上で、当局から管理者としてGDPRに則した適切な対策を行っていないと見なされれば、制裁金が発生する可能性が出てくる。

 実際、プリンスホテルは「72時間以内に日本の個人情報保護委員会とフランスの当局に通知した」(同ホテル幹部)と明かした。

 だが、プリンスホテルのようにGDPRを順守する対応を行っているのは一部だ。ファストブッキング社から従前、GDPRへの対応を求められていたにもかかわらず、今回の漏えい発覚後も、何ら対応をしていないホテルも多い。大手ホテルグループは「本件はGDPR適用範囲外と考えている。当局にも通知していない」とする。

 もちろん現状では、今回の件に当局が制裁金を科すのか否か、科すにしても、被害状況から制裁金には発展しないとの見方もある。

 だが、それはあくまで結果論。1995年に策定されたGDPRの前身、「旧データ保護指令」の下では、今回と同じく処理者の個人情報漏えいで管理者側にも制裁金が科せられたケースは少なくない。

 かねて欧米に比べてGDPR対策が大幅に遅れているとされる日本企業。今回のケースを他山の石とした方が賢明だ。