APDベルギー:IAB、金融、NIS2
ベルギーのデータ保護機関は、EU内で独自の立場を持っています。同国はEUとNATOの本部を擁しています。ルクセンブルクを除くEU加盟国の中で、最も多くのグローバル銀行・金融機関が集まっています。そのためAutorité de protection des données/Gegevensbeschermingsautoriteit(APD/GBA)は広い影響力を持ちます。
IABヨーロッパに対する裁定
2022年2月、ベルギーの規制当局はIABヨーロッパに対して裁定を下しました。この事案はTransparency and Consent Framework(TCF)に関するものでした。TCFはEU内で年間約2,200億ユーロのデジタル広告を支えています。
当局が認定した事実: TCFの同意文字列は個人データです。これはユーザーの仮名IDに結びついています。IABヨーロッパは共同管理者として認定されました。これにより、出版社や広告企業がそのデータをどう利用するかについて責任を負うことになりました。
罰金25万ユーロは小さな金額でした。しかし実際の影響ははるかに大きなものでした。当局はTCF全体の再設計を求めました。同意ツールを使用するすべてのEU出版社がその影響を受けました。広告購入者も同様でした。
教訓:セクター全体の技術がGDPRに違反しうるということです。個々の企業だけがリスクを負うわけではありません。チェーン全体が責任を問われる可能性があります。どのリンクも審査から免れることはできません。
金融セクター:NIS2とGDPRの統合
ベルギーにはEU銀行監督機構、EIOPA、そしてSWIFTのグローバル本部があります。そこの銀行と保険会社はGDPR第32条とNIS2第21条の両方を満たす必要があります。これら2つの法律は多くの共通点を持っています。
NIS2第21条が求める事項:
- 人的・物理的・デジタル領域でのリスク確認
- 24時間以内のインシデント報告
- 事業継続計画
- サプライチェーンのセキュリティ確認
- 送受信データと保存データの暗号化
- 多要素アクセス制御
GDPR第32条が求める事項:
- 個人データのマスキングと暗号化
- インシデント後のアクセス復元能力
- セキュリティ管理の定期的なテスト
- リスクに基づく技術的保護措置
暗号化、アクセス制御、インシデント対応、サプライチェーンセキュリティはどちらの法律にも含まれます。GDPR第32条の強固なプログラムは、NIS2第21条の要件のほとんどを満たします。統合された一組の管理策が最も効率的な方法です。両法律の全体的な概要についてはGDPRコンプライアンスガイドをご参照ください。
2024年の執行:主なテーマ
ベルギーの規制当局は2024年に82件の決定を下しました。金融セクターの案件は2023年比で56%増加しました。4つのテーマが際立っています。
同意なしのプロファイリング: 支出分析や商品提案に取引データを使用する銀行はGDPRを遵守する必要があります。当局は、そのようなデータに基づくプロファイリングを行う場合、「サービス改善」を有効な理由として認めませんでした。
AIによる信用スコアリング: GDPR第22条は自動化された信用判断を規制しています。人間によるレビューと明確な理由を求めています。複数のフィンテック企業でこれらの保護措置が不十分でした。これは重点分野でした。
買収後のデータベース統合: 買収後に記録を統合した銀行は、目的制限のルールに違反することが多くありました。元の同意は新たな統合使用をカバーしていませんでした。
移転ツールなしのアウトソーシング: 適切な法的ツールなしに第三国にIT業務を委託した企業は対応措置を受けました。インド、モロッコ、フィリピンへのアウトソーシングに関する事案が含まれていました。
ベルギーで銀行業務を行う企業にとって:GDPRとNIS2を統合した管理策が、監査前の最善の防御となります。セキュリティとコンプライアンスの概要では、ゼロ知識設計がいかにしてリスクを根本から削減するかを説明しています。
出典
- APD/GBA:ベルギーデータ保護機関 — VERIFIED-EXTERNAL
- APD:IABヨーロッパTCF裁定、2022年2月 — VERIFIED-EXTERNAL
- EBA:NIS2実施ガイダンス — VERIFIED-EXTERNAL