海外情勢

「グーグルに約126億円の制裁金」なぜヨーロッパでGAFAは嫌われ者なのか (1/4ページ)

 昨年12月、フランスの情報保護当局はグーグルに約126億円の制裁金を科すと発表した。中央大学の宮下紘准教授は「かつてナチスが個人データを悪用して虐殺を行ったことから、EUでは個人データの扱いは極めて慎重だ。GAFAなどへの制裁は、EUとアメリカとの思想的な衝突といっていい」という――。

 総額351億円の制裁金

 EU一般データ保護規則(GDPR)が2018年5月に適用開始されてから、約2年8カ月の間にEU個人データ保護当局が科した制裁金の総額は約351億円(約2億7250ユーロ)である、という調査結果が明らかにされました(DLA Piper調査2021年1月27日時点)。

 これまでのGDPR違反に伴う大きな制裁金の事例は図表1のとおりです。ちなみに、GDPRの制裁金の上限は、全世界の年間総売上高の4%または2000万ユーロとされており、これまでこの上限に達する制裁金が科された例はないため、今後より高額な制裁金が科される事例もみられる可能性があります。

 GDPR違反に伴う法執行には様々なものがみられます。同意なしでの個人データ処理やマーケティング、適法な根拠なしでの個人データ処理、個人データの開示や消去への対応、データ保護責任者の配置義務、データ侵害の通知義務、従業員の監視、さらに個人データのEUから第三国への移転などを理由とした違反がみられました。

 また制裁金の対象はGAFAのようなIT大企業のみならず、行政機関や中小企業においてもみられます。

 厳格なデータ処理が行われているEU各国

 GDPRの違反例を通覧して言えることは、EU各国の当局は個人データ処理の基本原則の違反に対して厳格な対応を見せてきています。すなわち、GDPRには個人データ処理に関する情報を本人に提供し、そして個人データ処理は適法に行われ、機微情報等の一定の処理については本人の同意を必要とします。

 この基本原則は日本法やアメリカ法とも多くの部分で重なり合うが、この基本原則の運用面においてEUでは厳格に審査されてきました。たとえば、同意ひとつとっても、日本法では個人情報保護法に定義がなく状況次第では黙示の同意も認められるとされているが、GDPRでは黙示の同意、ボックスに事前にチェック済みの同意、同意の撤回を認めないものはすべて無効とされます。

 この例を端的に示したのが、上記の例とは別に新たに2020年12月フランス個人データ保護監督機関CNILによる法執行です。CNILは、Googleに対し約126億円(1億ユーロ)、Amazonに対し約44億円(3500万ユーロ)の制裁金を命じる決定を下しました。

 CNILの決定では、Googleの検索サイトを訪問した時点で広告用クッキーが埋め込まれる仕組みになっており、第1に、事前に利用者に対してクッキーに関する明確かつ完全な情報提供を行ってなかったこと、第2に、広告用クッキーについて利用者から事前の同意を得ていなかったことが違反の根拠とされました。

 Googleはすでに2020年1月にはサード・パーティー・クッキーを用いた追跡を2年以内に停止することを表明していたが、今回この制裁金を受けてか2021年3月4日付Googleのブログでターゲティング広告の追跡の停止を改めて表明しました。Amazonに対する制裁金についても同様の違反根拠が指摘されました。

 個人と民主主義を守るためにも個人データ保護は重要

 クッキーによるウェブ閲覧の追跡技術は、自らのパソコンやスマートフォンを手にしている際に監視カメラで常時覗かれ、記録されていることと変わりません。

 さらに、ケンブリッジアナリティカ事件で顕在化したとおり、ウェブの閲覧履歴やFacebookの「いいね!」の履歴から当人の支持政党が推知され投票行動が操作されるという企てが行われ、個人データの乱用は民主主義の歪曲という事態にまで発展しました。

 個人の人格と民主主義を確保するためにも個人データの保護はデジタル化を推進する上で重要な主題となっています。いずれにしても、GAFAに象徴されるデジタルプラットフォーム企業への厳しい法的規律は、独占に対する競争法による取り締まりのほかに、個人情報保護の観点からも理解することができます。

Recommend

Ranking

アクセスランキング

Biz Plus