情報漏洩してないのに、罰金が62億円?!Googleがプライバシー保護団体から訴えられる!
前回の「シバサキのつぶやき」では、セキュリティ攻撃を受けて情報流出に見舞われたBA(British Airways)に対して、イギリス当局からの制裁金がGDPR違反史上最高の250億円にものぼったことについて書きました。
今回は、BAの制裁金に次いで2番目に高額な制裁金を課された、Googleの事案を取り上げてみましょう。
GDPRは、昨年5月25日に施行されました。
何と施行当日のその日に、Googleはオーストリアのプライバシー保護団体noyb(none of your business)からGDPR違反で訴えられました。
その結果、今年1月にGoogleは仏データ保護規制当局によって、約62億円の罰金支払いを命じられました。
GoogleもBAのように情報漏洩を起こして、数十億もの罰金を支払うよう命じられたのでしょうか?
実は、そうではないのです。
法令違反と認定された理由は、Googleのサービスを利用するための手続きが透明性に欠けたうえ、GDPRの定める情報管理の義務にも何点かの違反があるというのです。
具体的には、以下の2点を含みます。
・Googleは個人データの利用について説明してはいるが、
そうした説明を読むには複数のステップが必要で、
中には5~6回もクリックしなければならない。
・ユーザーデータの収集に関する同意手続きにおいて、
ユーザーは自分が何に同意することになるのかの説明が具体的でも明確でもなく、
自分が何に同意することになるのかを十分に知らされていない。
どうでしょうか?
上記のような”不備”は、Google以外の企業のサービスにおいても指摘され得る問題ではないでしょうか?
実は、GDPRの条項は抽象性が高いことから、GDPRが具体的に何を求めているのか、どこからどこまでがルールの範囲内でどこからが違反なのかについては、現時点ではグレーな部分も多いとされています。
Googleは、フランス当局の裁定に対して、不服を申し立てたようです。
この不服申し立てが却下されるかどうかを見届けないと、本案件の判例は確定したとは言えないでしょう。
GoogleのGDPR違反を指摘したのは、プライバシー保護団体の弁護士です。
今後、GDPR違反の認定事案には、このプライバシー保護団体の弁護士のような”専門家”が大きく関わってくるであろうことが想定されます。
ちなみに、このプライバシー保護団体の名称は、noyb(none of your business)です。
日本語にすれば、「大きなお世話だ」という意味になります。
個人データを収集し、莫大な利益の源泉としている大手ITプラットフォーマー企業に対する挑戦的な意識を込めたネーミングではないかと思います。
なお、noybは、アマゾン、アップル、ネットフリックス、スポティファイなど7社に対しても、ストリーミングサービスに関するGDPR違反を指摘しています。
