中国国家サイバーセキュリティ通報センターは9月9日、フランスの高級ファッションブランド「ディオール（Dior）」の中国法人であるディオール（上海）有限公司が、個人情報保護法に違反したとして行政処罰を受けたことを発表した。この処罰は、2025年5月に発覚したディオールの顧客情報漏洩事件に端を発するもので、中国公安当局が同社に対して実施した調査の結果、複数の違法行為が確認された。

2025年5月、ディオールがサイバー攻撃により顧客情報が流出したことを公表し、中国大陸のユーザーにも公式の警告メッセージが送信された。これを受け、中国公安当局のサイバーセキュリティ部門は、ディオール（上海）に対する行政調査を開始。調査の結果、以下の3つの違法事実が明らかになった。

   ディオール（上海）は、データ越境移転の安全評価を受けず、個人情報越境移転の標準契約を締結せず、また個人情報保護認証を取得しないまま、顧客の個人情報をフランス本社に送信していた。これは、中国の「個人情報保護法」が定めるデータ越境移転の要件に違反する行為である。

   同社は、個人情報をフランス本社に提供する前に、ユーザーに対し、情報の海外受領者による処理方法を十分に説明せず、また個別の同意を取得していなかった。これも「個人情報保護法」が求める透明性と同意の原則に違反する。

   収集した個人情報に対し、暗号化や匿名化などの適切なセキュリティ技術措置を講じていなかった。これにより、情報漏洩のリスクが高まり、顧客データの保護が不十分であった。

中国公安当局は、調査結果に基づき、「個人情報保護法」に従ってディオール（上海）に対し行政処罰を課した。具体的な処罰内容（罰金額や是正措置の詳細）は公表されていないが、当局は同社に対し、情報セキュリティ保護システムの強化と法令遵守を求めている。

この事件は、ディオールにとって中国市場での信頼性に影響を与える可能性がある。中国はディオールにとって重要な市場であり、2024年の同社売上高の約3割を占めるとされる。今回の処罰は、高級ブランドがデータ保護と現地法令の遵守において直面する課題を浮き彫りにした。消費者からは、SNSプラットフォーム「小紅書」などで、漏洩した消費データが詐欺に悪用される懸念が表明されている。

ディオールは5月の情報漏洩事件発覚後、速やかに内部調査を開始し、サイバーセキュリティ専門家を招集して対応を進めてきた。同社は、漏洩したデータには氏名、性別、電話番号、メールアドレス、住所、購入履歴、消費傾向などが含まれていたが、銀行口座情報やクレジットカード情報などの金融情報は含まれていないと強調している。また、影響を受けた顧客への通知を進め、フィッシング詐欺への注意を呼びかけている。

今回の事件は、中国の「個人情報保護法」（2021年11月施行）や「データセキュリティ法」が、グローバル企業に対し厳格なデータ管理を求める姿勢を反映している。中国は、データ越境移転に関する規制を強化しており、2023年6月から施行された「個人情報越境移転標準契約弁法」により、企業はデータ移転前に明確な法的枠組みを遵守する必要がある。ディオールのケースは、他の多国籍企業にとっても、データ保護と現地法令順守の重要性を再認識させる事例となる。

（中国経済新聞）