欧州連合(EU)はこの10年ほど、プライバシー法の抜本的な見直しを進め、域内の規制が日常生活のオンライン化に伴うニーズに対応できるようにしようとしてきた。その最大の成果が、2018年5月に施行された一般データ保護規則(GDPR)だ。
提供:Andrii Yalanskyi/CNET
GDPRは欧州市民に対する、世界有数の強力なプライバシー保護を実現している。組織が不必要に、そしてユーザーの明示的な承諾を得ずに個人情報を収集することを防いでいる。企業は収集した個人情報を、当初の目的以外でデータを利用することはできない。セキュリティ侵害が発生したり、必要な期間より長くデータを保持していたりする場合、企業は大きな問題を抱えることになる。規則に違反した場合の代償は大きく、当局から高額な制裁金を科される可能性がある。
テック企業大手は、欧州のプライバシー規則に従うことを約束してきたが、必ずしも適切に対応できているわけではない。これまでに、Google、Meta(旧Facebook)、Twitterなどが罰金を科されているほか、継続的な調査の対象となっている。大手企業だけではなく、欧州で事業をオンラインなどで展開しているすべての企業はGDPRに従う必要がある。ここでは、GDPR違反で高額の制裁金が科された事例を紹介する。
-
Amazon--7億4600万ユーロ(約970億円)
2021年7月、ルクセンブルクのデータ保護当局は、同社の顧客データの取り扱いに関する調査結果を踏まえ、7億4600万ユーロの制裁金を支払うよう命じた。Amazonはこの決定に納得しておらず、異議を申し立てる意向だとしていた。
-
WhatsApp--2億2500万ユーロ(約290億円)
2021年9月、アイルランドのデータ保護委員会(DPC)は、3年近くに及んだWhatsAppに対する調査を終結し、非常に高額な制裁金を親会社のFacebook(現在はMeta)に科した。DPCによれば、WhatsAppはユーザーデータの取り扱いに関して欧州のユーザーに対する十分な説明を怠った。特に、WhatsAppがどのようにFacebookとデータを共有しているのかという点が問題となった。WhatsAppはこの決定を不服として申し立てを検討しているとしていた。
-
Google--5000万ユーロ(約62億円)
GDPR違反による制裁金で初期に大きな注目を浴びた。個人データの収集とターゲット広告への利用について、ユーザーに情報を開示しなかったとして、2019年1月にフランスの規制当局から高額な制裁金を科された。WhatsAppに対する制裁金と同様に、ユーザーに対する透明性の確保とユーザーデータの利用に関するすべての情報の開示を、GDPRが企業に強く求めていることを示している。Googleは不服を申し立てた。
-
H&M--3500万ユーロ(約45億円)
小売企業のH&Mは、問題のある形で従業員を監視していたとして、2020年にドイツで制裁金の支払いを命じられた。同社は、休暇を取った従業員らに職場復帰面接を実施し、多くの場合、その内容などが記録されていたという。データを従業員の同意なく、全社的に多くの管理職がチェックできるようになっていたとされている。
-
TIM--2780万ユーロ(約36億円)
2020年1月、イタリアのプライバシー規制当局は、同国の通信会社TIMが数々の違反を犯したとして高額の制裁金を科した。当局は、TIMが顧客ではない人に定期的に一方的な営業電話をかけていたなどとする苦情を数多く受け、データの収集と処理に関する同社の違反を確認した。また、営業電話拒否リストに登録していた多くの人が対象となっていたことが分かった。TIMから1カ月に155回の連絡を受けた事例もあったという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。