NTTデータの海外子会社がGDPR違反で制裁金、ついに日系IT企業が摘発対象に「世界で最も厳しい」とされる個人情報保護の法規制「一般データ保護規則(GDPR)」が、2018年5月にEU(欧州連合)加盟国を含むEEA(欧州経済地域)で施行されてから4年半あまり。同規制は個人が自己データの削除を求めることができる「忘れられる権利(削除権)」で知られ、米国の巨大テック企業の不備を追及する欧州各国の当局の動きがしばしば注目されてきた。実際に2021年ごろから、米グーグルや米メタ(旧フェイスブック)、米アマゾン・ドット・コムなどに巨額の制裁金を科す例が相次いでいる。 GDPRはEEA域内に顧客がいるすべての企業が適用対象になり得る。日本企業も例外ではなく、摘発の対象となるリスクがある。それを象徴するのがNTTデータのスペイン子会社「NTTデータスペイン(旧エヴェリス)」のケースだ。 事の発端は、NTTデータスペインの顧客である保険会社が2021年8月に起こした顧客情報の漏洩問
