EUが一般データ保護規則(GDPR)でアメとムチを使い分け始めた。米グーグルに対し、GDPR違反で巨額の制裁金を科した一方、日本については十分な個人データの保護水準があると認定した。

 グーグルにムチを振るったのはフランスの個人データ保護機関CNIL(情報処理・自由に関する国家委員会)だ。2019年1月21日(現地時間)、5000万ユーロ(約62億円)の制裁金を科すと発表した。2018年に施行したGDPRに基づく初の巨額制裁金の事例だ。

図 仏データ保護機関CNILが米グーグルに巨額制裁金を科した理由
「透明性」や「同意の有効性」で争いに
[画像のクリックで拡大表示]
(画面出所:CNIL)
[画像のクリックで拡大表示]
制裁の理由

透明性の欠如

  • データの処理目的や保存期間、個人データのカテゴリーなどの重要情報を複数のドキュメントに分散して記載

ユーザーの同意がGDPRに準拠しておらず無効

  • 同意が複数サービスに及ぶことにユーザーが気付くのは不可能
  • アカウント作成時の個人向け広告表示設定が「その他オプション」リンクの先にあり、同意チェックマークが事前に付いている

グーグルは上訴へ

 CNILはグーグルがAndroidなどのサービスを通じて集めた個人データの処理目的や保存期間、データのカテゴリーといった重要な情報を複数のドキュメントに分散して記載しており、「透明性が欠けている」と主張。制裁金を科す根拠の1つとした。

 さらにグーグルによるデータの処理目的の説明があいまいで不適切なうえ、「ユーザーの同意がGDPRに準拠しておらず無効」である点を挙げた。

 グーグルの持ち株会社アルファベットの2018年7~9月期における純利益は91億9200万ドル(1兆300億円)に上る。制裁金額は0.6%にすぎない。

 それでもグーグルはフランスの行政に関する最高裁判所に当たる国務院に上訴する意向だ。同社は理由について「欧州内外のコンテンツ作成者やクリエーター、テクノロジー企業に与える影響を懸念している」と説明する。

 ベルギー在住でGDPRに詳しい杉本武重弁護士は「CNILが制裁金を決めた点に注目が集まっている」と指摘する。グーグルのEU(欧州連合)統括拠点はアイルランドにあり、同国のデータ保護監督機関が制裁金を決めるとみられていたからだ。企業が複数のEU加盟国にまたがって活動する場合、主な拠点がある国の機関が「指導的監督当局」となるとGDPRは定めている。

 しかしCNILは2018年9月から、プライバシー保護団体の申し立てを受けてグーグルに対する調査に乗り出していた。アイルランドにある同社の拠点は「サービス運営の意思決定権を持たない」と判断していた。

 アイルランドの監督機関は個人データ保護の法解釈が他の監督機関よりも緩やかなことで知られる。杉本弁護士は「アイルランドに欧州の統括拠点を構える企業は、同国以外の加盟国の監督機関による見解を踏まえつつGDPRに対応する必要がある」と語る。

 CNILはグーグルに対し、2016年3月にも制裁金を決定した。欧州域外で検索結果からURLを削除できないのは「忘れられる権利」に違反するとの判断に基づく。グーグルはこの決定を不服として上訴し、仏国務院はEUの最高司法機関である欧州司法裁判所に判断を求めた。

 同裁判所の法務官は2019年1月に「忘れられる権利は原則EU域内に限られる」との見解を示し、近く最終判断を下す予定だ。今回の上訴も欧州司法裁判所に持ち込まれる可能性がある。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら