Google の GDPR トラブルについて知っておくべきこと:要点まとめ

EUの一般データ保護規則(GDPR)に関しては、これが企業に適用されないハネムーン期間は終了してしまったようだ。

フランスの情報処理および自由に関する国家委員会(France’s National Commission for Informatics and Liberty)、通称CNILがGDPR違反とみなし、はじめて巨額の罰金を科した企業となったのが、Googleだ。2月第2週のテレグラフ(The Telegraph)の報道では、英国個人情報保護監督機関(ICO)もこの大手企業の情報の利用手段について調査中だという。Googleは、CNILの決定に対し、控訴の意向を表明した。

「ヨーロッパにある、ほかの数多くの(データ保護機関)と同様に、我々にはGoogleに関連した告訴が寄せられており、欧州データ保護会議(EDPB)の協力関係にある機関と連携協力し、これらをどう扱うかについて協議中だ」と、ICOの広報担当者は語った。

GDPRに関することはどれひとつとして単純ではない。今後に影響する最新の概要は次のようなものだ。

CNILが対応した今回のGoogleのケース:

たとえば、位置情報のデータをどのように使用するかなどの詳細情報を閲覧するために5回あるいは6回クリックしなければ閲覧できないように、プライバシー条項を埋没させていた。また、複数の処理用途を盛り込み、個人のデータをターゲティング広告に利用してきた。

カギとなる数値:

95000:昨年5月からデータ保護機関に寄せられたGDPRに関する告訴数
42000:DPA(データ保護当局)に寄せられたデータ違反の通知数
5000万ユーロ(約62億円):フランスのDPAが科した罰金額
1月22日:アイルランドのDPAがGoogleのヨーロッパにおける事業を担当する公式な主たるGDPR監督機関として指定された日付。
15:法的な調査がアイルランドのDPAで開始され、調査が行われることになった多国籍技術企業の数。規制当局によると、ここにはGoogleは含まれていない。

タイミングが肝心

CNILは、困難になる前に判断を素早く下した。GDPR違反を原因としてGoogleに罰金を科すかどうかの判断をアイルランドのDPAが単独で下せるようになるからだ。CNILがGoogleの法令違反を原因として罰金を科したと発表した1月22日にアイルランドのDPAにのみこの権限が付与された。GDPRの観点から言うと、これは、「ワンストップショップ制度」として知られ、国境を越えて事業を行う企業すべてがひとつの主たるDPAとだけやり取りを行うようにさせ、これによって理論上はさらなる困難を回避できるようにきちんと整備されている制度だ。つまり、以前はGoogleのアメリカ法人がEUのユーザーデータの処理を担当していたが、現在はアイルランドの部門が処理を行っている。CNILは、Googleがワンストップショップ制度を適用するずっと前から調査を開始していたと発表し、Googleの主張を退けた。概して、フランスの規制当局は賢明なタイミングを選んだといえる。

欧州連合には28の異なる加盟国が存在し、それぞれの国に担当のDPAが設置されている。すると、法の執行への対応は常に複雑になることにつながるはずだ。しかし、欧州連合の異なる28のDPAのあいだで一貫性や結合性のある方法を持たせるために設立された団体である欧州データ保護会議によると、アイルランドのDPAが担当した1月22日付のGoogleに対する判断は、精査が必要だという。

「GoogleがEUに主たる拠点を置いた場合に起こり得るあらゆるGDPR違反に関しては、それに関連する主たる監督機関は、原則としてひとつだけになり、その機関がGoogleに対して強制的な対応を講じることになるだろう」と、EDPBの女性広報担当者は言った。

DPAの管轄は難題

これまでのところ、Googleに対して明確な判断を下し罰金を科すことを発議したのはフランスの規制当局だけだ。ICOは他国のほかのDPAと協力してCNILの判断を議論することを確認した。そして、ICOはCNILと同様にGoogleに罰金を科すかどうかは正式に決定していないが、Googleに対して提起された告訴については検討中であると明記している。

アイルランドのDPAは、1月22日にヨーロッパにおいてGoogleの主たる規制機関として決定されただけであるため、CNILの判断は有効となるだろう。しかし、いずれの、そして、どれほどの数のDPAが今後Googleに罰金を科す権利を得るのかについては判明していない。

アイルランドのDPAの女性広報担当者は、同機関にはGoogleに対する告訴が寄せられているが、いまのところGoogleを調査する計画はないという。しかし、アイルランドのDPAは理論上、主導的な位置にあるが、ほかのDPAも依然としてGoogleと関連した判断に対して異議を唱えることができると、EDPBの女性広報担当者は言う。いずれのDPAもほかのDPAが下した判断に対して異議を唱えることができ、これはアイルランドのDPAにおいても同様だ。万一そうなった場合、この判断はEDPBに持ち込まれ、異なるDPAのあいだで議論が円滑に行われる。

言い換えれば、アイルランドのDPAが万一、GDPR違反と提起された訴えがあってもGoogleに罰金を科さない判断を下した場合、ほかのDPAが異議を申し立てる可能性がある。そして、ほかのDPAが全体で協議のうえ、なんらかの妥協案に合意する可能性が高い。

ハネムーンは終わり

GDPRに関する警告や罰金の大半は、フランスの規制当局から来ているが、今後もそのままである可能性は低い。さまざまなプライバシーに関する活動家らが告訴を提起する勢いにも後押しされ、このICOがCNILの判断を検討しようとする可能性は高まり続けるだろうとパブリッシングおよび広告技術を担当する幹部は言う。

「パブリッシャーは問題ないだろうが、広告技術ベンダーは不安に思っているはず」と、匿名で話した広告技術担当の幹部は言う。「(パブリッシャーは)個人のプロフィールを収集しておらず、そのデータを使用してWeb上で顧客をターゲティングしていない。不安を抱くのは、ほかの広告技術ベンダーだ。CNILは、ヨーロッパ中のほかのDPAを勇気づけてくれたようだ」。

Jessica Davies(原文 / 訳:Conyac