欧州委員会（EC）が自らの個人データ漏えいについてGDPRは適用されないと発表したらしい。

‘Embarrassing’ leak shows EU falls short of own GDPR data law (The Telegraph 2018/05/30 22:49)

欧州委員会の個人データ漏えいはIndivigital社からThe Daily Telegraph紙に提供された証拠で明らかになったようだ。

THE EU’S WEBSITE IS SERVING THIRD-PARTY CONTENT AND SPREADSHEETS CONTAINING HUNDREDS OF NAMES AND EMAIL ADDRESSES (Indivigital 2018/05/27)

EUのウェブサイトがEUのさまざまなワークショップやイベントに参加した個人の氏名、メールアドレス、電話番号、携帯電話番号を含むスプレッドシートを公開状態にしていたとのこと。

グーグル検索の結果には、EUのウェブサイト上にあるExcelファイルが約2万4千件現われ、europa.euドメイン上のそれらExcelファイルは、グーグルの詳細検索機能を使えば誰でもアクセスできるようだ。

その一つは欧州食品安全機関が公開したものと、2013年11月開催の「Scientific Colloquium Series」の出席者101名のデータ。

そのデータには姓名、メールアドレス、郵便番号、住所、電話番号、携帯電話番号、FAX番号が含まれる。その他、公開状態で誰でもアクセスできるようになっていたExcelファイルには以下のようなものがあったらしい。

・「Cultural Infodays 2009」という画像と437行のデータ。名前、メールアドレス、組織名を含む。政府機関や大学職員、非営利団体や民間企業の職員のデータもああり、多くのメールアドレスは政府機関や非営利団体のものだが、GMailなどのフリーメールもあった。

・Marine Expert Gropのものと思われるExcelファイルもあり、参加者の氏名、メールアドレスと、出欠確認のデータもあった。多くのメールは政府機関のものだが、いくつかは非政府機関のもの。

・欧州委員会が公開したExcelファイルもあり、氏名、メールアドレスを含む63名の個人データがある。メールアドレスは大部分がGMail。シートの列名には「nature of involvment（関与の性質）」というものや、各個人の能力についての短い記述と思われるものもある。たとえば「ITとソーシャルメディアのスキル」「WB RAAの草稿に助力した」「プロジェクト管理の経験あり」など。

後者のExcelファイルは2016年11月3日、4日開催の”Balkan Connexion”というイベントに関するものと思われ、EUのウェブサイトによれば、このイベントは学生を含む90名が参加した。

多くのExcelファイルは684行の個人データがあるものも含めて、各個人の明示的な同意によって公開されていると思われ、同意の概要を示すeuropa.euのページにリンクされており、そこからもExcelファイルへリンクされている。

その他の例として、”FOREST project”専用のウェブサイトに列挙されたExcelファイルがあり、ここには氏名や携帯電話番号を含むユーザの詳細な個人情報があり、2010年から2018年の間に公開されたワークショップのウェブページからリンクされている。

これらは明らかにGDPR違反となる。

しかし欧州委員会のスポークスマンはEUの各種機関は「法的な理由」でGDPRとは分離されており、GDPRにならった新しい法律に従うことになると発表したようだ。その新しい法律は今年2018年秋に施行されるとのこと。