002号 情報漏洩してないのに、罰金が62億円?! Googleがプライバシー保護団体から訴えられる!

前回の「シバサキのつぶやき」では、セキュリティ攻撃を受けて情報流出に見舞われたBA(British
Airways)に対して、イギリス当局からの制裁金がGDPR違反史上最高の250億円にものぼったことについて書きました。

今回は、BAの制裁金に次いで2番目に高額な制裁金を課された、Googleの事案を取り上げてみましょう。

GDPRは、昨年5月25日に施行されました。
何と施行当日のその日に、Googleはオーストリアのプライバシー保護団体noyb(none of your business)からGDPR違反で訴えられました。
その結果、今年1月にGoogleは仏データ保護規制当局によって、約62億円の罰金支払いを命じられました。

GoogleもBAのように情報漏洩を起こして、数十億もの罰金を支払うよう命じられたのでしょうか?

実は、そうではないのです。

法令違反と認定された理由は、Googleのサービスを利用するための手続きが透明性に欠けたうえ、GDPRの定める情報管理の義務にも何点かの違反があるというのです。

具体的には、以下の2点を含みます。

・Googleは個人データの利用について説明してはいるが、
 そうした説明を読むには複数のステップが必要で、
 中には5~6回もクリックしなければならない。

・ユーザーデータの収集に関する同意手続きにおいて、
 ユーザーは自分が何に同意することになるのかの説明が具体的でも明確でもなく、
 自分が何に同意することになるのかを十分に知らされていない。

どうでしょうか?

上記のような”不備”は、Google以外の企業のサービスにおいても指摘され得る問題ではないでしょうか?
実は、GDPRの条項は抽象性が高いことから、GDPRが具体的に何を求めているのか、どこからどこまでがルールの範囲内でどこからが違反なのかについては、現時点ではグレーな部分も多いとされています。

Googleは、フランス当局の裁定に対して、不服を申し立てたようです。
この不服申し立てが却下されるかどうかを見届けないと、本案件の判例は確定したとは言えないでしょう。

GoogleのGDPR違反を指摘したのは、プライバシー保護団体の弁護士です。
今後、GDPR違反の認定事案には、このプライバシー保護団体の弁護士のような”専門家”が大きく関わってくるであろうことが想定されます。

ちなみに、このプライバシー保護団体の名称は、noyb(none of your business)です。
日本語にすれば、「大きなお世話だ」という意味になります。

個人データを収集し、莫大な利益の源泉としている大手ITプラットフォーマー企業に対する挑戦的な意識を込めたネーミングではないかと思います。

なお、noybは、アマゾン、アップル、ネットフリックス、スポティファイなど7社に対しても、ストリーミングサービスに関するGDPR違反を指摘しています。



柴崎正道 CISA
株式会社網屋 取締役
外資系金融機関において情報セキュリティコンプライアンス運用の責任者を務める。米国FRB等、外部監査に対応。
1998年、株式会社網屋に入社。ISMS認証取得支援、個人情報保護法対応支援、J-SOX法対応IT統制運用支援等、コンサルティング業務に従事。現在、台湾を初めとするアジアを中心としたグローバルビジネスの展開に携わる。

<この情報の発信者>
株式会社網屋 マーケティング本部
東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町11F
https://www.amiya.co.jp